前端恶意代码致用户资产被盗

Polymarket 平台近期遭遇严重安全事件,因一个受感染的第三方供应商在其前端代码中植入恶意脚本,导致至少11个用户钱包遭受钓鱼攻击。据区块链情报公司 AMLBot 更新估算,此次攻击造成的损失已攀升至约310万美元,资金以 PUSD 形式在 Polygon 链上被窃取。

资金快速跨链转移与归集

被盗资金随后通过 Relay 兑换为 USDC.e,跨链至以太坊,并进一步兑换为约1893枚 ETH,最终集中至单一以太坊地址。该操作链条显示攻击者具备高度协调能力,且利用了多链资产流转机制规避追踪。

平台回应与风险控制措施

Polymarket 在6月25日发布声明称,已识别问题源头并移除受影响的依赖项,同时表示“已控制住局面”。平台正主动联系受影响用户,并承诺提供全额退款。尽管核心智能合约未遭篡改,但前端界面的异常授权请求仍使用户在不知情情况下批准了有害操作。

前端攻击隐蔽性强 用户难以察觉

此类攻击不涉及协议漏洞,而是通过伪装正常的网站交互诱导用户授权恶意交易。安全机构 PeckShield 和 Specter Analyst 均指出,攻击过程完全发生在用户浏览器层面,典型表现为看似合法的确认提示,实则执行非预期的资产转移指令。这凸显了外部代码依赖带来的系统性风险。

平台历史安全事件频发

此次并非 Polymarket 首次面临安全挑战。今年3月曾有两笔合约被窃超52万美元,虽平台称资金安全;去年12月其 Discord 频道也出现可疑登录与资金丢失报告。这些事件叠加,使该平台成为加密领域持续关注的安全焦点。

监管审查范围持续扩大

当前事件正值美国参议员 Adam Schiff 与 John Curtis 向 CFTC 发出信函之际,要求调查 Polymarket 是否存在虚假宣传、模拟交易及未披露的付费推广行为。他们质疑平台是否利用误导性营销吸引用户参与高风险预测活动,并询问监管工具是否足以覆盖此类新型金融产品。

体育赛事合约法律争议升级

此外,肯塔基州指控 Polymarket 与 Kalshi 提供未经许可的体育博彩服务,而 CFTC 则主张联邦衍生品法规应适用。这一法律拉锯战或将决定未来体育类预测市场的管辖权归属,影响整个行业合规路径。