Polymarket 遭安全漏洞攻击，第三方供应商被黑致损失300万美元

预测市场平台 Polymarket 已确认，黑客在利用一家遭入侵的第三方供应商后，盗取了约300万美元的用户资产，此事件凸显了加密货币平台面临的网络安全风险日益加剧，即便其核心区块链基础设施依然安全。

该事件于 2026年6月25日 披露，据公司表示，受影响的用户账户不足15个。尽管受害者人数有限，但此次盗窃的规模在数字资产行业引发了广泛关注，因为攻击者并未利用 Polymarket 智能合约或区块链基础设施的漏洞。相反，他们通过一家外部服务提供商渗透了该平台，使恶意代码得以直接注入 Polymarket 的网站。

该公司表示，漏洞已被消除，并承诺对每位受影响的客户进行全额赔偿。尽管如此，此次安全漏洞再次引发了外界对第三方供应商安全性以及针对加密货币平台的供应链攻击日趋复杂的担忧。

第三方供应商成为入侵入口

据 Polymarket 透露，攻击始于其一家外部供应商遭黑客入侵。尽管该公司未公开点名涉事服务提供商，但此次漏洞使攻击者得以将恶意代码注入平台的前端基础设施。

由于代码通过 Polymarket 的实时网站 传递，访问该平台的用户没有任何异常迹象。恶意脚本与正常网站功能同步运行，使攻击者得以在规避即时检测的同时，有针对性地攻击特定用户。

来源：Xpost

网络安全专家通常将此类技术描述为供应链攻击，即攻击者入侵受信任的第三方供应商，而非直接尝试渗透主要目标。

这类攻击在科技行业愈发普遍，因为它们利用的是企业与其供应商之间的信任关系。

攻击者并非突破多层内部安全防线，而是通过渗透软件提供商、云服务、分析工具或企业日常依赖的其他外部系统来获得间接访问权限。

在 Polymarket 的案例中，这种信任连接最终成为盗取客户资产的突破口。

约300万美元数字资产遭窃

区块链调查人员随后确认，攻击者主要针对 pUSD——这是在 Polymarket 生态系统中广泛使用的稳定币。

盗窃发生后，被盗代币通过去中心化交易机制迅速兑换为 Ether (ETH)。

将被盗稳定币转换为 ETH 是加密货币黑客的惯用手法，因为这会增加交易追踪的难度，并提高追回被盗资金的难度。

链上分析显示，攻击者行动迅速，表明此次行动在恶意代码部署之前已经过精心策划。

黑客并非随机行窃，而是似乎专门针对余额相对较大的钱包。

尽管确认受害者不足15人，总损失仍达约 300万美元，说明个别账户持有大量数字资产。

公司承诺全额赔偿

Polymarket 在识别漏洞后不久作出回应，确认恶意代码已从其网站中移除，且漏洞已被完全控制。

该公司表示，每位受影响的客户将获得全额赔偿，确保没有用户因此事件蒙受永久性财务损失。

尽管赔偿可能减轻即时财务影响，但行业分析师指出，恢复用户信心往往比弥补被盗资金更具挑战性。

信任始终是加密货币平台最宝贵的资产之一，尤其是对于那些处理真实货币交易和预测市场、用户定期维持大量余额的平台而言。

因此，Polymarket 的响应速度可能成为决定该平台能否快速重获现有用户和潜在客户信心的重要因素。

第二起安全事件引发新质疑

此次最新漏洞也标志着 Polymarket 在不足两个月内发生的第二起重大安全事件。

在 2026年5月，该公司经历了另一起网络安全事件，涉及与 Polygon 区块链奖励分发相关的内部运营钱包。

早前那次攻击造成的损失估计在 52万至70万美元之间，具体数字因来源不同而有所差异，但并未直接影响客户余额。

与最新事件不同，5月份的漏洞针对的是公司控制的钱包，而非用户账户。

尽管两次攻击利用了不同的弱点，但时间间隔如此之近，已引发网络安全专业人士和加密货币社区成员的高度审视。

反复发生的事件自然令人对内部安全程序、供应商监管、监控系统及事件检测能力产生疑问。

尽管两次漏洞均未涉及 Polymarket 区块链基础设施本身的漏洞，但两者均表明，运营安全远不止于智能合约本身。

为何供应链攻击尤为危险

供应链攻击已成为增长最快的网络安全威胁之一，因为它们利用的是信任而非技术弱点。

当企业将外部软件提供商整合到其网站或运营系统中时，这些供应商实际上已成为企业自身基础设施的延伸。

一旦攻击者入侵其中某家供应商，恶意代码便可渗透到合法平台，而不会触发传统安全警报。

对于加密货币服务而言，后果可能尤为严重。

与遭入侵网站交互的用户往往在不知情的情况下批准钱包交易，或签署看似完全合法的恶意请求。

由于网站本身保持真实，大多数受害者在资产已被转移之前，几乎没有理由怀疑有任何异常。

被盗 pUSD 迅速转换为 ETH，表明攻击者在发动行动之前已建立好退出策略。

这种预谋行为与专门通过高度协调的行动实施加密货币盗窃的有组织网络犯罪团伙的手法相符。

行业面临加强供应商安全的压力与日俱增

Polymarket 事件折射出数字资产行业面临的更广泛挑战。

随着加密货币平台持续扩展其基础设施，它们在云计算、数据分析、软件开发、支付处理和客户互动等方面对外部服务提供商的依赖日益加深。

每增加一项整合，便会引入另一个潜在的漏洞点。

行业观察人士预计，此次攻击发生后，各方将更加重视供应商风险管理。

对第三方提供商进行独立安全审计、持续监控前端代码、制定更严格的软件验证程序以及实时完整性监控，可能将在加密货币平台中愈发普遍。

部分网络安全专家还倡导更广泛地采用基于浏览器的完整性验证系统，以便在用户与遭入侵界面交互之前，检测出未经授权的网站修改。

尽管此类技术在 Web3 生态系统中仍相对少见，但此类事件可能会加速其更广泛的应用。

投资者应关注的后续动态

未来数周将大概率决定市场最终如何看待此次事件。

以下几项进展值得密切关注。

其一，用户和行业观察人士将期待就遭入侵供应商及攻击的具体技术细节获得更大程度的透明度。

其二，许多人期望 Polymarket 委托进行独立安全审计，不仅评估其内部系统，还评估其与外部服务提供商的关系。

其三，交易活动将成为用户信心的重要指标。

若赔偿程序完成后交易量和活跃用户保持稳定，或许表明社区对平台长期安全性仍抱有信心。

反之，活动持续下滑则可能表明，尽管公司承诺补偿受影响用户，声誉损害仍将长期存在。

一次提醒：安全不止于区块链

Polymarket 安全漏洞揭示了加密货币行业日益重要的现实：区块链技术本身可以保持安全，而周边基础设施却可能成为最薄弱的环节。

在此案例中，攻击并未利用去中心化技术或智能合约的缺陷。

相反，黑客成功借助一家遭入侵的第三方供应商渗透了平台前端，展示了受信任的外部关系如何成为重大网络安全风险。

尽管受影响用户不足15人，且所有损失预计将获赔偿，但此事件再次提醒我们，运营安全必须与区块链创新同步演进。

对于 Polymarket 而言，挑战现已超越财务赔偿本身。

重建信任、加强供应商监管并展示改进的网络安全实践，将大概率决定该平台在竞争日趋激烈的快速扩张预测市场行业中的形象定位。