Polymarket遭遇大规模资金外流，链上追踪揭示转移路径

知名链上分析师Specter今日发布调查报告，指出Polymarket平台近期发生一起严重安全事件，涉及约11个账户被非法侵占，总损失金额接近294万美元。这些资金最初为PUSD代币，随后迅速被兑换为以太坊（ETH）并集中转移至单一最终地址。尽管目前确认的受害者数量为11人，但随着对链上交易图谱的深入分析，实际受损账户数可能继续攀升。

平台频繁遭劫，仿冒入口成主要突破口

自去年以来，Polymarket已多次成为网络钓鱼与社会工程攻击的目标。攻击者惯用手法是诱导用户在伪造网站输入登录凭证，从而在用户未察觉前完成钱包清空操作。本月初，平台工程副总裁Josh Stevens曾通报一例案例：一名用户因在非官方页面输入一次性验证码，导致其基于邮箱的Magic Link钱包被攻陷，瞬间损失超200万美元。他强调，该漏洞并非源自平台核心系统，而是外部仿冒站点所致。

合约缺陷暴露，历史攻击仍留隐患

此次事件前，Polymarket在Polygon链上的UMA CTF Adapter合约已于5月遭遇52万美元的资金流失。链上调查员ZachXBT指出，此次攻击系由部署密钥泄露引发，暴露出项目在基础设施管理上的薄弱环节。

空投传闻推高诈骗风险，虚假申领工具泛滥

关于未来发行POLY代币的猜测正加剧平台的安全压力。6月25日，X平台用户Tiptop发现，Polymarket官网的常见问题页面已移除“暂无代币”及“不计划空投”的声明。此前，首席营销官Matthew Modabber曾在2025年10月公开表示，团队正筹备一个具备真实用途、可持续运营的代币体系。这一表态促使大量用户调整行为，试图积累交易记录以获取潜在空投资格。

这种热度为诈骗者提供了可乘之机。近期社交媒体上涌现出多个声称可验证空投资格或提供申领通道的虚假工具，实则用于窃取用户私钥。多个Web3账号证实，官网已彻底删除否认空投的表述，进一步助长了市场误判。

生态信任危机：恶意机器人与虚假宣传并行

除钓鱼攻击外，Polymarket还面临更深层的声誉挑战。去年12月，安全机构SlowMist在GitHub上发现一个名为跟单交易机器人的开源项目，其中嵌入后门代码，可自动窃取用户私钥并上传至黑客服务器。今年3月，StepSecurity再次揭露，一个已被攻陷的GitHub组织持续分发伪装成合法工具的恶意脚本，专门用于入侵用户账户。

此外，平台信誉亦遭质疑。据某财经媒体披露，Polymarket曾长期向网络红人支付每月2000至3000美元，要求其发布经过脚本编排的视频内容，展示虚构的高额盈利。这些视频刻意隐瞒赞助关系，且在表现不够“真实”时会被要求重拍，甚至被要求将虚假收益包装成个人经历，严重误导公众认知。

结合过往钓鱼事件、恶意软件传播以及人为制造的繁荣假象，外界对平台整体安全机制的信任正在瓦解。尽管其预测市场的未平仓合约规模已突破14.8亿美元，创下历史新高，但这一数据背后隐藏着巨大的潜在风险。