圈小蛙
去中心化预测市场巨头 Polymarket 近年来凭借各种时事和政治预测吸纳了海量资金与用户,然而,其前端安全防护在近期暴露出严重隐患。2026年6月25日(周四),Polymarket 官方证实其网站遭遇了黑客的恶意篡改,导致数量不明的用户在与平台交互时加密资产被盗。
根据Polymarket官方在社交平台 X 上发布的公告,此次安全漏洞的源头并非 Polymarket 智能合约本身,而是源自其使用的一家第三方服务供应商。黑客首先攻破了该供应商的系统,并以此为跳板,成功在 Polymarket 官网的前端代码中嵌入了恶意脚本。当用户在受到污染的网页上执行签名或授权操作时,恶意代码会暗中篡改交易目标地址,从而将用户的钱包资金直接划转至攻击者的控制之下。
官方紧急遏制漏洞,承诺全额赔偿受害者
在检测到异常的资金流向和用户反馈后,Polymarket 团队迅速展开了响应。官方发言人康纳·布兰迪(Connor Brandi)在接受媒体询问时证实,该前端漏洞确实导致了部分用户的资金被盗。但他拒绝透露目前已知的具体被盗金额以及受波及的用户数量。
不过,Polymarket 强调,本次事件的影响范围被局限在前端网页的恶意注入,平台底层的核心智能合约和资金池并未受到实质性伤害。公司已经“遏制”了该恶意代码的进一步扩散,并已将受污染的第三方模块下线或修复。为了挽回用户的信任,Polymarket 宣布正在主动整理受害者名单,并承诺将向所有因此次攻击遭受财产损失的用户提供全额退款支持。
Web3前端安全警钟:第三方组件成防线短板
这起事件再次暴露了现代 Web3 平台在前端安全建设上的短板。即使底层的区块链智能合约经过了多轮严苛的审计、无懈可击,但只要面向用户的前端网页(Web-facing UI)依赖了存在安全隐患的第三方库(如 CDN 托管服务、广告追踪脚本或用户分析工具),黑客就极易通过“供应链攻击”绕过合约防御,直接在浏览器端实施欺诈。
行业分析人士指出,随着预测市场交易量的持续攀升,Polymarket 已成为黑客眼中的“肥肉”。尽管官方承诺全额赔付款项,但此次安全事件对于正在高速扩张的平台而言,无疑在品牌声誉和用户信任度上蒙上了一层阴影。目前,对于攻击者是如何攻破第三方供应商系统的调查仍在继续。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️