第三方供应商漏洞引发钓鱼攻击

一次第三方供应商的数据泄露事件导致Polymarket网站被植入恶意脚本,攻击者借此发起钓鱼攻击,从用户钱包中窃取资金。被盗资产主要为由USDC支持的pUSD稳定币,随后被转换为以太坊(ETH)并集中至单一钱包地址。截至最新报告,相关ETH尚未流出,资金仍处于锁定状态。 该攻击利用了用户在未充分验证情况下批准交易的弱点,属于典型的“钓鱼”战术,即诱导用户授权后完成资金转移。

链上分析揭示攻击范围

区块链分析师Specter追踪发现至少11个钱包受波及,另一家链上调查公司Bubblemaps则估计受影响账户少于15个。尽管涉及账户数量有限,但单次损失金额高达290万美元,表明攻击具有高度针对性和破坏力。 Polymarket已在社交平台X上确认事件,并表示已从系统中清除被攻陷的供应商组件。公司未公开涉事供应商名称,也未提供进一步细节。

平台年内接连遭遇安全危机

这并非Polymarket首次面临安全挑战。一个月前,其披露一起与六年前私钥相关的漏洞,造成约60万至70万美元损失。当时工程副总裁Josh Stevens表示,用户资金及平台合约未受影响,所有相关权限已被撤销。 根据DefiLlama统计,2026年第二季度共记录89起加密货币安全事件,创下有史以来单季度最高纪录。其中6月份总损失达7490万美元,涉及29起事件,高于5月的6050万美元,但低于4月的6.44亿美元。 当月最大损失事件包括:Humanity Protocol的3600万美元漏洞、Secret Network跨链桥470万美元损失、Aztec两起各210万美元漏洞,以及Taiko跨链桥170万美元损失。 数据显示,过去30天内,私钥泄露占所有报告漏洞损失的43%,成为最常见攻击方式;虚假证明漏洞占比10%,反向MEV蜜罐占比8%。 尽管接连发生安全事件,Polymarket的总锁定价值持续增长,目前已超过4.5亿美元,相较一年前的1.12亿美元增长301%,显示用户对平台信任仍在延续。