Polymarket前端攻击致用户资产损失攀升至310万美元

区块链分析机构AMLBot更新数据显示，Polymarket近期遭遇的安全事件所造成的经济损失已增至约310万美元，较此前初步估算的294万美元进一步上升。

外部供应商漏洞引发大规模前端代码注入

此次安全事件源于一个受感染的第三方服务提供商，在平台部分前端代码中植入了恶意脚本。该漏洞导致至少11个用户钱包在未察觉的情况下执行了有害操作，资金被定向转移。

平台已于6月25日确认问题源头，并宣布已切断受影响的依赖项连接，同时启动对受害用户的全额退款流程。

被盗资金跨链转移路径清晰，归集至单一地址

AMLBot指出，攻击者从Polygon链上的11个PUSD钱包中窃取了约310万枚代币，随后通过Relay协议将其兑换为USDC.e，并迅速跨链至以太坊网络。

安全机构PeckShield追踪显示，这些资金最终被转换为约1893枚ETH，全部归集至一个以太坊地址。该路径已被Specter Analyst确认为典型钓鱼攻击后的资金清洗流程。

前端攻击隐蔽性强，用户难以实时识别风险

本次攻击并非针对核心智能合约，而是通过伪装正常的网站交互诱导用户授权恶意操作。尽管界面外观正常，但浏览器加载的异常脚本仍可触发危险的钱包权限请求。

这一案例凸显了依赖外部代码带来的系统性风险——即使协议本身无缺陷，前端逻辑的薄弱环节仍可能成为攻击入口。

接连不断的安全事故加重平台信誉压力

这已是Polymarket年内第二起重大安全事件。今年3月，有两名用户报告其在Polygon链上的合约资金被盗，总计超52万美元，平台当时称资金未受损。

去年12月，其Discord频道也曾出现用户账户异常登录及资金丢失的通报。当前事件被DefiLlama列为2024年第二季度第89起加密安全漏洞，使该季度成为历史上披露事件最多的时期之一。

监管审查范围延伸至广告与市场运营模式

随着安全事件频发，美国参议员Adam Schiff与John Curtis联名致信美国商品期货交易委员会（CFTC），要求调查Polymarket是否存在误导性宣传行为。

相关指控包括：使用模拟交易页面制造虚假活跃假象、存在未披露的付费推广活动，以及利用影响力营销扩大用户规模。他们质疑CFTC是否具备足够执法工具来覆盖预测市场的复杂运作。

此外，该平台与Kalshi正卷入一场关于体育赛事合约法律属性的诉讼。肯塔基州主张其属非法体育博彩，而联邦监管方则认为应由衍生品法规管辖。此案或将决定未来此类市场的监管归属框架。