Polymarket遭恶意脚本入侵，用户资产遭大规模盗取

6月25日，Polymarket平台遭遇一次由第三方供应商数据泄露引发的前端攻击。攻击者利用漏洞将恶意代码注入网站前端，诱使用户授权交易，从而实现资金转移。此次事件共造成约290万美元损失，主要针对持有pUSD（由USDC支持的美元锚定稳定币）的钱包。

攻击路径清晰：从钓鱼授权到资金转移

攻击者在诱导用户批准交易后，迅速将被盗的pUSD兑换为以太坊（ETH），并集中转入单一钱包地址。截至最新追踪，该地址内所有资金尚未发生转移，仍处于冻结状态。此类手法属于典型的‘钓鱼式’攻击，依赖于对用户信任关系的滥用。

漏洞溯源：供应商接口暴露引发前端污染

链上分析机构Specter率先识别出该漏洞，并确认至少11个用户账户受影响。另一家链上调查公司Bubblemaps的估算显示，涉事账户数量低于15个。尽管影响范围有限，但单次损失金额巨大，反映出高价值目标的吸引力。

Polymarket已在社交平台X上证实事件真实性，声明已从系统中彻底清除被攻陷的第三方组件。公司未公开涉事供应商名称，仅表示已启动内部审计流程。

连环事故暴露平台深层风险

这并非Polymarket首次面临安全挑战。一个月前，平台曾披露一起源于六年未更新私钥的漏洞，导致60万至70万美元资金外流。当时工程副总裁Josh Stevens强调，核心合约与用户资金未受波及，相关权限已被及时撤销。

据DefiLlama统计，2026年第二季度共报告89起加密货币安全事件，创下历史同期新高。其中，6月份累计损失达7490万美元，涉及29起事件，高于5月的6050万美元，但远低于4月的6.44亿美元。

当月最大损失事件包括Humanity Protocol的3600万美元漏洞、Secret Network跨链桥470万美元损失、Aztec平台两起各210万美元漏洞，以及Taiko的170万美元跨链桥问题。

数据显示，过去30天内，私钥泄露仍是主要攻击手段，占所有报告漏洞损失的43%；虚假证明漏洞占比10%，而反向MEV蜜罐（通过虚构收益诱骗自动化交易机器人）则占8%。

尽管接连遭遇安全冲击，Polymarket的总锁定价值持续攀升，目前已突破4.5亿美元，相比一年前的1.12亿美元增长超过300%，显示出市场对其基本面的信心仍在延续。