loading...
6月25日,一次第三方供应商泄露事件让攻击者将恶意脚本注入Polymarket网站。该脚本触发了一次钓鱼攻击,从用户钱包盗走约290万美元。Polymarket表示已移除恶意代码,并将全额赔偿受影响用户。
攻击者瞄准了持有pUSD(Polymarket的美元锚定稳定币,由USDC支持)的钱包。一旦控制资金,他们便将pUSD兑换为以太坊(ETH),并将所有资金转入一个钱包。截至最新报告,被盗的ETH尚未离开该钱包。此类攻击利用了一种被称为“钓鱼”的战术,诱骗受害者批准导致资金被转走的交易。
区块链分析师Specter首先发现该漏洞,追踪到至少11个用户钱包被盗。另一家链上调查公司Bubblemaps估计受影响账户少于15个。两项估计均指向一次范围小但损失惨重的攻击。
Polymarket在X上确认了该事件,称已从系统中移除被攻陷的供应商。该公司拒绝透露涉事供应商的名称。
这并非Polymarket今年首次遭遇安全危机。大约一个月前,该平台披露了另一起漏洞,损失估计在60万至70万美元之间,与一个用于内部支付充值的六年前私钥有关。Polymarket工程副总裁Josh Stevens当时表示,用户资金和平台合约仍然安全,所有与泄露密钥相关的权限已被撤销。
根据DefiLlama的数据,Polymarket漏洞是2026年第二季度报告的第89起加密货币安全事件。这一数字使得第二季度成为有记录以来被黑次数最多的季度(按事件数量计)。
DefiLlama数据显示,6月份加密货币漏洞造成的总损失攀升至7490万美元,涉及29起报告事件。这一数字超过了5月份的6050万美元,但远低于4月份的6.44亿美元。当月最大的事件包括Humanity Protocol的3600万美元漏洞、Secret Network的470万美元跨链桥漏洞、Aztec的两起各210万美元漏洞,以及Taiko的170万美元跨链桥漏洞。
DefiLlama称,过去30天内,私钥泄露导致所有报告漏洞损失的43%,成为最常见的攻击方式。虚假证明漏洞占10%,而反向MEV蜜罐(通过虚假盈利机会引诱自动化交易机器人)占8%。
尽管近期发生多起事件,Polymarket的总锁定价值大幅增长。截至最新数据,该平台持有超过4.5亿美元,较一年前的1.12亿美元增长301%。
471
223
493
717
731
381
512
313
951
754
