Polymarket遭遇前端入侵：恶意脚本致用户资产损失

6月25日，一个第三方服务提供商的数据泄露事件使攻击者得以将恶意代码植入Polymarket网站前端。该脚本诱导用户授权交易，进而实现资金转移，造成约290万美元的资产被盗。事件发生后，Polymarket迅速响应，清除受影响代码，并宣布将对所有受损用户进行全额补偿。

攻击目标锁定美元锚定稳定币钱包

此次攻击集中于持有pUSD（由USDC支持的平台稳定币）的用户账户。一旦获得权限，攻击者立即将pUSD兑换为以太坊（ETH），并统一转入单一地址。截至目前，这些被窃取的ETH仍滞留在该钱包中，尚未出现跨链或变现动向。此类手法属于典型的‘钓鱼’策略，通过伪装成合法操作诱导用户签署有害交易。

供应链风险暴露：前端组件遭未授权注入

区块链分析机构Specter率先识别出异常行为，确认至少11个钱包受到波及。另一家链上追踪公司Bubblemaps则估算受影响账户不超过15个。尽管涉众有限，但单笔损失巨大，反映出攻击者具备高度精准的目标筛选能力。事件根源指向一个被攻陷的外部供应商，其提供的前端资源被篡改。

Polymarket在社交平台X上正式承认事件，表示已从系统中剔除受污染的第三方组件。然而，出于安全考量，平台未公开具体涉事供应商名称。

连续两起事故揭示深层安全隐患

这并非Polymarket首次面临安全挑战。一个月前，该平台曾披露一起源于六年未更新私钥的漏洞，导致60万至70万美元损失。当时工程副总裁Josh Stevens强调，用户资金及核心合约未受影响，相关访问权限已被立即撤销。

根据DefiLlama统计，2026年第二季度共记录89起加密项目安全事件，创下历史新高。其中，6月份的漏洞总损失达7490万美元，涉及29起报告案例，虽低于4月的6.44亿美元，但仍显著高于5月的6050万美元。

当月最严重的几起事件包括：Humanity Protocol遭遇3600万美元漏洞、Secret Network跨链桥损失470万美元、Aztec接连发生两起各210万美元的漏洞，以及Taiko跨链桥遭受170万美元攻击。

数据显示，过去30天内，43%的已报告漏洞源于私钥泄露，是当前最普遍的攻击路径；虚假证明漏洞占比10%，而反向MEV蜜罐（利用虚假收益诱骗自动化交易机器人）占8%。

值得注意的是，尽管接连遭受打击，Polymarket的总锁仓价值（TVL）实现强劲增长，目前已突破4.5亿美元，较一年前的1.12亿美元增长超过300%，显示出市场对其基本面的信心依然稳固。