Polymarket——這家目前估值 150 億美元、並獲得紐約證券交易所 6 億美元投資支持的預測市場平臺——本週遭受了一次 294 萬美元的前端網絡釣魚攻擊。而它的應對方式值得仔細研究，因爲這種迴應與攻擊本身一樣具有啓示性。

事情是這樣的：一場複雜的網絡釣魚攻擊攻破了 Polymarket 的前端界面——用戶所交互的網站——並將交易授權重定向到惡意合約。那些在被攻破的前端界面上連接錢包並簽署交易的用戶，其資金被轉走。此次攻擊利用的是 UI 層，而不是底層智能合約——這意味着 Polymarket 的鏈上基礎設施保持完好，而面向用戶的界面被“武器化”了。

即時回應：Polymarket 宣布將退還所有受影響的使用者。294 萬美元由平台承擔。不需要等待期。也沒有冗長的申請流程。即使使用者在技術上是自己簽署了交易，平台仍承擔了發生於基礎設施層級的安全失敗的財務責任。

這件事重要的原因有三點，超出這次特定事件本身。第一：前端攻擊是 DeFi 中最常被低估的安全風險之一。智慧合約也許已被完美審計且安全，但如果駭客能夠攻陷使用者互動的介面——例如透過 DNS 劫持、遭入侵的 CDN，或是針對前端依賴項的供應鏈攻擊——他們就能讓使用者簽署看起來合法的惡意交易。2025–2026 年間，BGP 劫持與 DNS 中毒已被反覆用於攻擊加密平台。第二：Polymarket 選擇吸收 294 萬美元損失，而不是爭議責任歸屬，這是關於聲譽的明確商業決策。以 150 億美元估值來看，294 萬美元僅占其估值的 0.02%。不退款將會損害信任，因為該平台的整體價值主張就是可靠的預測市場基礎設施。第三：這次攻擊發生在數月以來最糟糕的一週加密行情期間，而使用者信心本就脆弱。退款公告的速度與完整性，正是正確的危機應對。

給每位加密貨幣使用者的教訓：在連接錢包之前，務必先驗證任何 DeFi 平台的網址。使用瀏覽器書籤快速鍵，而不是點擊連結。檢查 SSL 憑證是否有異常。硬體錢包要審查交易細節，因為軟體錢包可能會掩蓋這些資訊。

給每個加密協議的教訓：Polymarket 的回應標準——全額退款、快速公告——正是這個產業在處理安全事件時應該達到的樣子。

請訂閱、按讚並分享這篇文章。它真的很有幫助。

#Polymarket #security #defi #釣魚 #CryptoSafety #BinanceSquare