预测市场平台前端漏洞致逾310万美元资产被盗

区块链分析机构AMLBot更新数据显示，Polymarket近期遭遇的安全事件所造成损失已攀升至约310万美元，涉及用户钱包数量持续增加。

第三方依赖缺陷触发大规模钱包盗取

此次攻击源于一个受感染的外部服务提供商，在平台部分前端代码中植入了恶意执行脚本。该漏洞使攻击者得以在用户正常访问界面时诱导其授权高风险操作，从而完成资金转移。

尽管平台声称已隔离受影响组件并移除问题依赖项，但已有至少11个持有PUSD的钱包确认受损。公司已启动退款流程，并向所有受影响用户承诺全额赔偿。

资金链路追踪揭示跨链洗钱路径

据AMLBot披露，被盗资金最初位于Polygon网络，随后通过Relay协议转换为USDC.e，并快速跨链至以太坊主网。最终，这些资产被兑换为约1893枚ETH，并集中归集至单一以太坊地址。

这一资金流向与Specter Analyst此前报告一致，表明攻击者具备完整的链上清洗能力。初步估算金额由294万美元上调至当前水平，反映事件影响范围超出预期。

用户界面伪装成正常操作诱发信任陷阱

攻击手段聚焦于前端交互环节，而非核心合约逻辑。用户在看似正常的交易页面中，可能因浏览器加载的异常脚本而被诱导签署未经授权的EIP-7702授权，进而丧失资产控制权。

PeckShield指出，此类攻击难以通过常规方式识别，因网站外观无明显异常，但底层代码已发生篡改。这凸显了对外部依赖项管理的薄弱环节——即使智能合约本身安全，前端引入的恶意代码仍可构成重大风险。

接连暴露问题加剧平台信誉危机

此次事件并非孤立案例。今年3月，已有两个Polygon合约被标记为疑似被盗，涉资超52万美元；去年12月，平台Discord频道也曾出现用户账户异常登录及资金丢失报告。

DefiLlama将该起事件列为第二季度第89起加密安全漏洞，使其成为有记录以来最频繁的一季。持续暴露的安全隐患正迫使平台加强对其技术栈中所有第三方组件的审计与监控。

监管压力叠加法律纠纷双重施压

就在黑客事件发酵之际，美国参议员Adam Schiff与John Curtis联名致信美国商品期货交易委员会（CFTC），要求彻查Polymarket是否存在误导性广告行为。

他们质疑平台是否利用模拟交易界面、虚构成交记录以及隐蔽付费推广等方式吸引用户参与，同时询问监管机构是否具备有效工具应对此类新型金融产品风险。

此外，该平台还卷入一场关于体育赛事预测合约合法性的司法争议。肯塔基州指控其提供未经批准的体育博彩服务，而联邦监管机构则主张相关衍生品应受CFTC管辖。该案或将决定未来预测市场适用何种法律框架。