针对 Polymarket 前端的网络钓鱼攻击暴露了去中心化金融中最持久的漏洞之一:供应链。当攻击者不需要攻破协议的智能合约就能掏空数百万资金时,他们只需要攻陷一个第三方服务商,而这个服务商静静地潜伏在热门平台代码的后台。
Summary
要点总结
- 一个被攻陷的第三方服务商向 Polymarket 的前端注入了恶意代码,发起网络钓鱼攻击,从至少 11 个用户钱包中盗走了约294 万美元。
- Polymarket 移除了恶意依赖,控制了漏洞,并承诺向所有受影响用户全额退款。
- 区块链分析师 Specter 证实,被盗的 PUSD 已被兑换为 ETH 并汇总到一个单一地址。
- DefiLlama 将该事件记录为2026 年第二季度的第 89 起加密安全漏洞,是其记录中单季事件数量最高的一次。
- 据 DefiLlama 统计,2026 年 6 月在 29 起攻击中共造成7490 万美元损失。
Polymarket 前端网络钓鱼攻击详情
这次针对 Polymarket 的网络钓鱼攻击并未利用平台智能合约或核心基础设施中的缺陷。相反,攻击者是从侧门入侵——通过一个第三方服务商,其被攻陷的访问权限让攻击者得以将恶意脚本直接注入 Polymarket 的前端界面。
这一点区别非常重要。用户在与看起来完全正常的 Polymarket 界面交互时,在不知情的情况下暴露在旨在从其已连接钱包中窃取资金的代码之下。该攻击向量是无声的、不可见的,而且行之有效。
通过第三方服务商注入恶意代码
Polymarket 在 X 上披露了这一事件,确认一个第三方服务商被攻陷,并被用来向平台部分用户的前端注入恶意脚本。平台用非常直接的顺序描述了整个过程:发现、控制、移除、退款。
“今天早上我们发现一个第三方服务商被攻陷,向部分用户的前端注入了恶意脚本。我们已经控制住局面并移除了受影响的依赖。我们正在联系受影响用户并向他们全额退款。”Polymarket Traders 于 2026 年 6 月 25 日发文表示。
区块链分析师 Specter 将该事件归类为一次网络钓鱼活动,而非直接的协议攻击。注入的脚本会等待用户与被攻陷界面交互,然后启动,从已连接的钱包中抽走资金。
攻击影响与受影响钱包
Specter 估计,至少有11 个受害者钱包被掏空,损失约294 万美元。被盗资产以 PUSD 形式持有,随后被兑换为 ETH 并汇入一个单一的汇总地址——这一模式与 DeFi 盗窃后快速洗钱的常见手法一致。
损失规模凸显了前端层攻击的高效性。即便被攻陷的钱包数量相对较少,损失金额仍接近 300 万美元,反映出部分用户在这一预测市场平台上持有的头寸规模。
平台响应与用户赔付
在发现漏洞后,Polymarket 迅速采取行动。恶意依赖被移除,事件得到控制,平台承诺让每一位受影响用户获得全额赔付。
事件控制与恶意依赖的移除
响应过程遵循了清晰透明的步骤:隔离被攻陷组件,将其从平台中剥离,并公开沟通。Polymarket 确认正在主动直接联系受影响用户,而不是等待用户自行上报。
这种做法——主动联络加上全额退款承诺——反映出 DeFi 平台日益认识到,一旦用户信任被破坏,比起金钱损失本身要难以修复得多。
对受影响用户全额退款的承诺
对所有受影响用户进行全额赔付的承诺意义重大。尽管尚未明确这些退款的具体时间表和分发机制,这一公开承诺已将 Polymarket 的声誉直接置于考验之中。对于一个依赖用户参与和流动性的预测市场平台而言,这种问责既是财务层面的,也是战略层面的。
在加密货币安全背景下审视此次漏洞
Polymarket 事件并非孤立发生,而是出现在一个已经在加密安全失败方面创下不光彩纪录的季度之中。
DefiLlama 报告 2026 年第二季度创纪录的加密安全漏洞数量
DefiLlama 将 Polymarket 漏洞记录为2026 年第二季度的第 89 起加密安全事件——使其成为该分析平台有史以来记录的单季事件数量最高的一季。这个数字本身就表明了系统性问题:攻击更多、更频繁,且覆盖更广的平台和攻击向量。
据 DefiLlama 统计,在过去 30 天内,私钥泄露占攻击损失的 43%。伪造证明攻击占损失的 10%,反向 MEV 诱捕占 8%。Polymarket 攻击源于前端供应链被攻陷,而非私钥或协议缺陷,这表明随着传统攻击向量的防御不断加强,攻击者正在多样化其手段。
2026 年 6 月攻击与损失概览
DefiLlama 报告称,仅在 2026 年 6 月,就有 29 起加密攻击造成7490 万美元损失。这一数字高于 5 月的 6050 万美元,但远低于 4 月的 6.44 亿美元——那是一个包含年度最大几起 DeFi 盗窃事件的月份。
6 月最大的一起单独事件是针对 Humanity Protocol 的3600 万美元攻击。其他值得注意的攻击包括针对 Secret Network 跨链桥的 470 万美元攻击,两起分别影响 Aztec 的 210 万美元攻击,以及针对 Taiko 的 170 万美元跨链桥攻击。在这样的背景下,Polymarket 的 294 万美元损失在 6 月事件中按金额算属于中等水平——但其攻击方式和所处语境使其具有特别的借鉴意义。
Polymarket 之前的安全事件
6 月的前端攻击并非 Polymarket 本季度的首个安全新闻。大约一个月前,平台披露了另一宗涉及更早期漏洞的安全事件。
六年前私钥被攻陷导致 60 万美元损失
攻击者利用了一个与内部充值运营钱包相关联的六年前的私钥,盗走了约 60 万美元。安全研究员 ZachXBT、PeckShield 和 Bubblemaps 最初发现了涉及 Polymarket 在 Polygon 上的 UMA CTF Adapter 合约的可疑活动。Bubblemaps 指出,攻击者每 30 秒提取 5000 POL,随后总损失被估计为约 60 万美元。
关于事件根本原因与平台安全性的澄清
Polymarket 协议贡献者 Shantikiran Chanal 随后澄清,早前的事件源于一个仅用于内部运营的被攻陷钱包,而非平台合约或核心基础设施中的任何缺陷。工程副总裁 Josh Stevens 确认,用户资金和智能合约在整个过程中始终保持安全,与被攻陷私钥相关的所有权限都已被撤销。
两起相隔一个月、攻击向量完全不同的事件——一起是被遗忘的私钥,一起是被攻陷的供应链服务商——为这一在快速增长同时背负历史安全债务的平台勾勒出一幅充满挑战的图景。尤其是这次前端网络钓鱼攻击,凸显了许多 DeFi 平台共同面临但尚未完全加固的一类风险:对运行在其界面上的第三方代码所赋予的隐性信任。
常见问题
Polymarket 的网络钓鱼攻击是如何发生的?
攻击者攻陷了一个第三方服务商,并向 Polymarket 的前端界面注入恶意代码。当用户与被攻陷的界面交互时,脚本会被激活,直接从其已连接的钱包中盗取资金。
在这次 Polymarket 网络钓鱼攻击中被盗金额是多少,有多少用户受到影响?
大约有 294 万美元从至少 11 个用户钱包中被盗。被盗的 PUSD 被兑换为 ETH,并汇总到一个由区块链分析师 Specter 识别出的单一钱包地址。
Polymarket 如何应对这次网络钓鱼攻击?
Polymarket 已移除恶意依赖,控制了事件,并承诺向所有受影响用户全额退款。平台还表示正在直接联系受影响用户。
从加密安全趋势的更广泛背景来看,这次攻击意味着什么?
这次攻击被 DefiLlama 记录为 2026 年第二季度的第 89 起加密安全漏洞,使该季度成为记录中事件数量最高的一季。仅 2026 年 6 月就发生了 29 起攻击,造成 7490 万美元损失,其中私钥泄露占近期攻击损失的 43%。
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Polymarket 的网络钓鱼攻击是如何发生的?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”攻击者攻陷了一个第三方服务商,并向 Polymarket 的前端界面注入恶意代码。当用户与被攻陷的界面交互时,脚本会被激活,直接从其已连接的钱包中盗取资金。”}},{“@type”:”Question”,”name”:”在这次 Polymarket 网络钓鱼攻击中被盗金额是多少,有多少用户受到影响?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”大约有 294 万美元从至少 11 个用户钱包中被盗。被盗的 PUSD 被兑换为 ETH,并汇总到一个由区块链分析师 Specter 识别出的单一钱包地址。”}},{“@type”:”Question”,”name”:”Polymarket 如何应对这次网络钓鱼攻击?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Polymarket 已移除恶意依赖,控制了事件,并承诺向所有受影响用户全额退款。平台还表示正在直接联系受影响用户。”}},{“@type”:”Question”,”name”:”从加密安全趋势的更广泛背景来看,这次攻击意味着什么?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”这次攻击被 DefiLlama 记录为 2026 年第二季度的第 89 起加密安全漏洞,使该季度成为记录中事件数量最高的一季。仅 2026 年 6 月就发生了 29 起攻击,造成 7490 万美元损失,其中私钥泄露占近期攻击损失的 43%。”}}]}
本文在人工智能协助下完成,由编辑团队审核。
