Polymarket遭供应链攻击致资金外流，损失攀升至310万美元

区块链分析机构AMLBot更新数据后指出，Polymarket平台因一次客户端供应链攻击造成的总损失已达到约310万美元，这一数字持续引发市场对平台退款能力与治理透明度的深度讨论。

攻击源头溯源：第三方依赖项遭恶意注入

2026年6月25日，Polymarket披露其前端系统受到入侵，问题源于一家合作的第三方供应商在代码中引入了恶意脚本，影响部分访问用户。平台迅速响应，移除了受影响的依赖组件，并启动用户通知流程。

损失估算动态上调，关联钱包增至11个

据2026年6月27日最新报告，AMLBot将整体损失金额修正为约310万美元，高于初期估计的304万。该数据基于对11个特定受害钱包的资金流向追踪，确认资金已被跨链转移至以太坊并兑换为ETH，显著增加了追回难度。

攻击路径隐蔽，常规监控难以捕捉

安全团队C/side分析表明，此次攻击属于典型的客户端供应链攻击，利用广告服务商的依赖链漏洞。恶意代码仅在用户点击特定交互按钮后激活，具备高度隐蔽性，传统安全扫描难以识别。

退款声明滞后于损失确认，可信度受挑战

尽管平台在事发当日即宣布将全额赔偿受影响用户，但该承诺发布时，最终损失总额尚未确定。目前仍未公布明确的退款截止日期、资格认定标准或进度查询机制。随着损失估算持续上升，用户对补偿流程的知情权和参与感严重不足。

监管压力叠加，声誉风险加剧

此次事件发生之际，美国相关监管部门正对Polymarket展开调查，指控其存在潜在合规违规行为。在此背景下，任何退款执行不力或延迟都可能触发更严重的法律后果，进一步侵蚀公众信任。

核心合约未受损，退款能力具备理论基础

值得注意的是，本次攻击并未波及Polymarket的链上智能合约或资金库，其核心基础设施保持完好。这一事实意味着平台理论上具备兑现承诺的财务能力，但能否实现仍取决于其内部治理效率与外部透明度。

信任危机蔓延，市场情绪跌至冰点

当前加密恐惧与贪婪指数仅为18，处于极度恐惧区间，反映出市场对平台安全性的普遍担忧。此轮攻击暴露了去中心化应用在依赖外部前端服务时所面临的系统性脆弱性。

历史重演：同类攻击频发凸显行业共性风险

今年早些时候，另一场针对Balancer池的类似攻击也造成158万美元损失，均源于第三方代码污染。此类模式反复出现，揭示出DeFi生态在接口整合环节存在的深层安全隐患。

用户应对建议：主动排查钱包状态，等待官方通知

受影响用户应立即核查自身钱包是否列入AMLBot公布的11个目标地址名单，并密切关注Polymarket通过官方渠道发布的退款机制说明。截至2026年6月28日，平台仍未公布公开的时间表或状态更新。