Polymarket遭恶意攻击，供应商信息泄露

Polymarket表示，发生了第三方供应商的安全漏洞，攻击者利用该漏洞将恶意脚本注入其前端，分析师估计至少有约294万美元从11个用户钱包中被盗取。该平台表示，受影响的依赖项已被移除，受影响的用户将获得全额退款。

关键要点

攻击者入侵了Polymarket使用的第三方供应商，并利用该访问权限将恶意脚本注入平台的前端，影响了多个用户。这个机制很重要，因为它针对的是交易者实际互动的网络层，而不一定是链上的合约。

区块链分析师Specter估计此次事件从至少11个Polymarket用户钱包中抽走了约294万美元。Specter表示，注入的脚本似乎旨在促进网络钓鱼，这是一种操纵受信任界面以欺骗用户批准转账或透露敏感信息的模式。

该数据包不包括平台确认的损失总额、受影响用户的完整数量或脚本上线的确切时间窗口，仅提及了周四的发现。这使得交易者在等待最终核算时只能依赖分析师的估计。

Polymarket在X上表示，妥协“已被控制”，并且“受影响的依赖已被移除。”该平台还表示，受影响的用户“将获得全额退款。”

该退款承诺是近期用户行为的关键稳定因素。如果能够快速且干净地执行，它可以限制声誉损害，但在处理细节和边缘案例得到确认之前，它并不能消除活跃用户的操作风险。在此类事件中，第二阶效应往往是对界面的信心，而不仅仅是损失的金额。

该事件发生在大约一个月前，Polymarket披露了一起与六年前的漏洞相关的60万美元的事件之后。私钥用于内部充值操作。Polymarket 的工程副总裁 Josh Stevens 当时表示，合同和用户资金保持安全，并且与密钥相关的权限已被撤销。

DefiLlama将Polymarket事件描述为第二季度第89起报告的加密安全漏洞，延续了其所称的按事件数量计算的历史上被攻击最多的季度。根据DefiLlama的数据，6月份的漏洞损失总计为7490万美元，涉及29起事件，而5月份为6050万美元，4月份为6.44亿美元。

DefiLlama对过去30天的分析也勾勒出了环境：私钥泄露占报告的漏洞损失的43%，虚假证明漏洞占10%，反向MEV蜜罐占8%。

Polymarket的规模提高了赌注。DefiLlama的数据表明，该平台的总锁仓价值（TVL）超过4.5亿美元，比一年前的1.12亿美元增长了301%。这种增长使得前端的完整性和供应商的卫生不再只是技术细节，因为现在更多的预测市场流量集中在一个单一的网络界面后面。

首个重要的确认是退款是否已实际处理，包括时间、方式，以及是否有用户属于未解决的边缘案例。

接下来是一份事后分析，指出了被攻陷的第三方供应商或依赖项，并明确了恶意脚本活跃的确切时间窗口。如果没有这些信息，交易者无法正确评估风险暴露或判断修复措施是否持久。

损失报告仍在不断变化中。任何超出Specter估计的更新，包括额外受影响的钱包或平台确认的总额，将决定这是否仍然是一个有限的用户级事件，还是扩展为更广泛的信任事件。

最后，关注Polymarket的TVL，目前DefiLlama报告的数字超过4.5亿美元，以观察退款推出后短期资本轮换的迹象。持平或恢复的TVL将表明市场将此视为运营上的小波折，而非结构性问题。对手风险.

我不把这当作一个智能合约故事。这里描述的核心失败模式是网络供应链风险，其中一个被攻陷的依赖项可以将一个合法的前端转变为钓鱼表面，并迫使用户签署放弃资金的协议。

重要的阈值是执行：如果 Polymarket 能够快速提供全额退款并发布明确的事后分析，缩小暴露窗口，这看起来更像是一个情绪催化剂，而不是根本性的变化。如果损失总额增加或退款处理拖延，情况就开始显得结构性，而不是叙事驱动，因为对界面的信任就是产品。