
據區塊鏈分析師 Specter 稱,攻擊者利用第三方供應商遭到入侵的事件,向 Polymarket 的前端注入惡意代碼,從而觸發了釣魚流程,最終從至少 11 個用戶錢包中轉走資金。Specter 估計被盜金額爲 294 萬美元,並指出與遭到入侵的用戶界面相關的活動。
Polymarket 表示已控制事態,移除了受影響的依賴項,並將對受影響用戶進行全額退款。該案件也印證了 DefiLlama 指出的更廣泛的安全趨勢:報告稱,本季度按事件數量計算,已成爲有記錄以來被攻擊最多的季度。
要點速覽
Specter將Polymarket事件歸因於第三方供應商遭入侵,使得惡意腳本得以注入到平臺的前端。
據稱,網絡釣魚機制導致至少11個Polymarket用戶錢包中被估算盜走約294萬美元。
Polymarket表示,遏制工作已完成,被篡改的依賴項已移除,用戶將獲得全額退款。
DefiLlama數據顯示,第二季度的加密安全漏洞入侵以創紀錄的速度發生,而6月的總額已升至7490萬美元,覆蓋29起已報告事件。
在過去30天裏,DefiLlama報告稱,私鑰泄露是損失佔比最大的部分(43%);其次是“假證明(fake proof)”類利用(10%)以及反向MEV蜂窩(8%)。
Polymarket前端遭入侵是如何發生的
根據Specter的說法,攻擊者利用了第三方供應商遭入侵,進而將惡意腳本偷偷注入到Polymarket的網站體驗中。Specter表示,注入的代碼看起來是爲支持網絡釣魚攻擊而設計——這意味着用戶可能被誘導去簽署或批准操作,把資金轉走,而不是完成預期的交易。
Specter的分析估算此次盜竊金額約爲294萬美元,影響至少11個Polymarket用戶錢包。該數據基於觀察到的排水(drain)活動,這些活動與Specter描述的網絡釣魚模式相關。
Polymarket在X上公開回應稱,它已識別並遏制了此次泄露,移除了受影響的依賴項,並確認受影響用戶將獲得全額退款。Cointelegraph就此向Polymarket尋求進一步評論,但在發佈前未收到回覆。
6月漏洞利用損失攀升——仍低於4月的峯值
儘管Polymarket案是一樁值得注意的事件,但它處在更大規模的被利用活動浪潮之中。報告中引用的DefiLlama數據顯示,6月加密漏洞利用損失達到7490萬美元,共29起已報告事件,較5月的6050萬美元總額有所上升。
即便考慮月度環比增長,6月的總額仍遠低於4月的6.44億美元數據,凸顯了今年全年受利用事件在不同月份分佈不均。相同的DefiLlama數據集還將第二季度標記爲有記錄以來遭攻擊最頻繁的時期(按事件數量計),進一步延長了迄今所報道的高頻泄露態勢。
6月最大事件凸顯反覆出現的跨鏈與被利用風險
DefiLlama的拆解顯示,6月推動損失走高的幾起重大事件。6月最大一起報告事件是Humanity Protocol的3600萬美元漏洞利用。其他較大條目包括Secret Network的470萬美元跨鏈漏洞利用,以及兩起價值各210萬美元的Aztec漏洞利用。
該列表中還包括Taiko上的一次170萬美元跨鏈漏洞利用。合在一起,這些事件強化了加密安全報道中一貫的主題:當發現漏洞或供應鏈組件被攻破時,跨鏈橋系統和複雜的協議集成會繼續將損失集中起來。
攻擊路徑發生變化:私鑰泄露率先、網絡釣魚仍是令人擔憂的因素
DefiLlama的方法將最近30天的已報告“被利用損失”按技術類型拆分。私鑰泄露佔損失的43%,是該期間最常見的類別。“假證明(fake proof)”類利用佔10%,而反向MEV蜂窩(reverse MEV honeypots)按同一拆解口徑佔8%。
根據底層報道,Polymarket事件與這些類別的描述並不完全一致:Specter將其界定爲導致網絡釣魚的前端注入,而在實踐中,這類情況可能與用戶層面的安全故障相互重疊,而不只是鏈上漏洞。無論如何,操作層面的啓示相似——攻擊者正越來越多地將供應鏈弱點與面向用戶的欺騙手段結合起來,以轉移資金。
該威脅在Polymarket上也有本地歷史。大約一個月前,這家預測市場披露了一起與一把6年曆史私鑰相關的另一次60萬美元漏洞利用,該私鑰用於內部充值(top-up)操作。Polymarket工程副總裁Josh Stevens當時表示,合約與用戶資金是安全的,並且與該密鑰相關的權限已被撤銷,體現出在發現問題後通過限制暴露範圍來應對的處理思路。
Polymarket用戶接下來要關注什麼
在Polymarket表示已移除被篡改的依賴項並將爲受影響用戶退款之後,接下來需要重點關注的信號是:是否仍有殘餘詐騙通過緩存頁面、第三方腳本或針對用戶授權的後續嘗試繼續發生。更廣泛而言,投資者與用戶應追蹤第二季度的節奏是否仍維持創紀錄的高頻率,並查看DefiLlama的技術拆解是否顯示,網絡釣魚式事件正隨私鑰泄露的增加而上升。
本文最初發表於Crypto Breaking News:Polymarket看到2.9M美元盜竊並獲批退款計劃——這是你可信賴的加密新聞來源,包括加密貨幣新聞、比特幣新聞以及區塊鏈更新。
