Polymarket 黑客攻擊損失增至 310 萬美元，退款承諾面臨審查

Polymarket 最近發生的安全事件規模進一步擴大，區塊鏈情報公司 AMLBot 已將預估損失上調至約 310 萬美元。這家預測市場平台先前曾承諾向受影響用戶退款，並表示此次事件源於某第三方供應商遭入侵，導致惡意程式碼透過其前端界面傳播至部分用戶。AMLBot 指出，駭客從 11 個用戶錢包中竊取了約 310 萬美元的 PUSD。該公司表示，這些資金係自 Polygon 網路竊取，並迅速跨鏈橋接至 Ethereum。 此次更新使損失金額從先前約 294 萬美元的估算值進一步提高。Specter Analyst 首先將此次攻擊標示為一場釣魚活動，至少導致 11 個持有 PUSD 的錢包資金被盜。Polymarket 於 6 月 25 日發布的公告中指出，已確認某第三方供應商遭入侵，致使攻擊者得以針對部分用戶，在平台前端注入惡意指令碼。該平台聲明：「我們已成功遏制此問題，並移除了受影響的依賴元件」，同時確認正主動聯繫受影響用戶，提供全額退款。 此次攻擊似乎針對的是網站使用者介面（UI），而非核心協議本身。此類攻擊可誘騙用戶在自以為正在正常使用平台的情況下，批准有害的錢包操作。PeckShield 報告指出，攻擊者已將竊得資金從 Polygon 橋接至 Ethereum，並兌換為約 1,893 ETH，隨後將這些 ETH 整合至單一 Ethereum 地址。 前端攻擊對用戶而言極難即時察覺，因為網站外觀可能一切正常，但瀏覽器所載入的程式碼卻會觸發不安全的錢包授權提示。本次事件凸顯了第三方依賴元件所帶來的安全風險——即使平台自身的智慧合約保持安全，外部引入的程式碼仍可能製造漏洞。此前 Polymarket 已多次遭遇安全問題，包括今年 3 月一宗疑似入侵事件，以及去年 12 月 Discord 頻道遭入侵事件。 根據 DefiLlama 的報告，本次事件是第二季度第 89 起加密貨幣安全 breaches，創下單一季度內有記錄以來最高通報數量。此類事件頻率持續攀升，凸顯各平台亟需加強對智慧合約、錢包、登入系統、前端程式碼及外部供應商等各環節的監管與審查。 此次駭客攻擊恰逢 Polymarket 面臨日趨嚴格的監管審查。美國參議員 Adam Schiff 與 John Curtis 近期敦促美國商品期貨交易委員會（CFTC）調查有關欺詐性廣告行為的指控，包括使用模擬交易網站及未披露的網紅推廣活動。此外，Polymarket 與 Kalshi 正就體育賽事合約陷入法律糾紛；肯塔基州指控兩家公司提供未經許可的體育博彩服務，此案或將有助釐清此類市場究竟適用聯邦衍生性金融商品法規，抑或受各州賭博法規管轄。