Polymarket前端遭劫:310万美金被盗,跨链转移成追回难题

第三方前端漏洞致百万美元资产外流,平台回应滞后

预测市场平台Polymarket遭遇重大安全事件,因合作的第三方前端服务遭受网络攻击,致使11个用户钱包资金被非法转移,总损失达310万美元。值得注意的是,经审计的底层智能合约系统未受波及,资金流失源于前端交互层的安全缺陷。

上游接口遭篡改,用户授权被恶意劫持

攻击者并未直接侵入核心协议,而是瞄准了用户与平台间的关键桥梁——由外部服务商维护的网页前端界面。该界面负责处理用户操作请求,但在此次事件中,其代码被植入隐蔽恶意脚本。在漏洞暴露期间,与平台互动的用户所发出的钱包授权指令被异常重定向,导致私钥权限被非法调用,进而造成资产流失。由于攻击点位于合约执行前的入口环节,即便合约本身经过严格审计,也难以提供有效防御。

监管风暴与安全危机叠加,运营承压加剧

此次事件发生之际,Polymarket正面临美国商品期货交易委员会(CFTC)对其美国用户开放权限的全面审查。该调查自2024年起持续进行,焦点在于平台提供的预测合约是否构成未经注册的商品衍生品,尤其在总统大选周期中,其市场赔率数据频繁被主流媒体引用,引发广泛社会关注。高曝光度虽推动用户增长,但也加剧了监管机构的警惕。当前,一场监管调查与一起严重安全事故并行,使平台处于内外交困的舆论漩涡之中。

追责路径受阻,赔偿机制尚无定论

截至目前,Polymarket尚未宣布对受害用户的补偿方案,亦未公开涉事前端供应商名称,这使得外界无法开展独立溯源分析或验证安全链条完整性。同时,由于CFTC调查仍在推进,任何对外披露均可能影响司法程序。被盗的PUSD代币已通过跨链桥从Polygon网络转移至以太坊,理论上具备追踪基础,但若缺乏执法机构介入,历史上由前端供应链漏洞引发的资金追回案例极为稀少,实际回收难度极高。