前端依赖项漏洞引发大规模资金损失

Polymarket 已确认其近期发生的 pUSD 资金流失事件源于第三方供应商的前端依赖项被攻破,而非智能合约缺陷。该漏洞使恶意脚本得以嵌入用户访问的合法界面中,导致部分持有 pUSD 的钱包在无感知情况下授权交易,造成资金外流。

被盗资产已兑换为以太坊并集中归集

被盗资金来自部署于 Polygon 网络的 pUSD 钱包,共计约 11 个及以上地址被波及,总金额估算接近 294 万美元。攻击者已将盗取的 pUSD 兑换为 ETH,并通过地址 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD 进行资金归集。 另四个关联盗窃地址已被链上追踪识别:0xC771A30a7c1aCA828eeEF7B822ac864a64cBaAe2、0xC44F2Ca6B30A54d17a62ceF8FAdaF2e8C8632eC4、0x10366AdBB5C4101A65C840Da6639546179C5A107 以及 0x7BCECe0d8fd92ECCf39Bc35242c6D9aAc0aA75A6。

攻击路径揭示前端安全脆弱性

尽管 Polymarket 的核心智能合约未受侵害,但用户因信任合法界面而执行了被篡改的授权操作。这种“恶意前端”模式使得即使链上逻辑正常,用户仍可能在签名或交易提示环节遭遇资产损失。 平台已移除受感染的依赖项,并正直接联系受影响用户,承诺提供全额赔偿。

增长扩张暴露更多前端风险点

当前,Polymarket 正积极拓展至 TON 网络并通过 Telegram 原生钱包提供服务,扩大了其用户触达范围。这一扩展也带来了新的前端交互场景,增加了外部依赖项引入风险的可能性。 与此同时,平台营销活动受到关注,包括首席营销官通过 PayPal 向创作者支付超 250 万美元,以及使用虚假获胜视频吸引美国用户的行为,引发关于推广透明度与合规性的讨论。 此次事件表明,前端供应链安全性已成为预测市场类应用的核心防线。依赖项管理、实时监控与快速回滚机制成为保障用户资产存储的关键环节。