损失294万美元：Polymarket网络钓鱼攻击，一个月内发生第二起数据泄露事件

针对 Polymarket 前端的网络钓鱼攻击暴露了去中心化金融领域最顽固的漏洞之一：供应链。攻击者无需破坏协议的智能合约就能窃取数百万美元，他们只需入侵某个隐藏在热门平台代码后台的第三方供应商即可。

要点总结

受感染的第三方供应商向 Polymarket 的前端注入了恶意代码，从而发动了网络钓鱼攻击，从至少 11 个用户钱包中窃取了约294 万美元。
Polymarket 移除了恶意依赖项，控制了漏洞，并承诺全额退款给所有受影响的用户。
区块链分析师 Specter 证实，被盗的 PUSD 已兑换成 ETH 并合并到一个地址中。
DefiLlama 将该事件记录为2026 年第二季度的第 89 起加密货币安全漏洞事件，这是其记录中最高的季度事件数量。
根据 DefiLlama 的数据，2026 年 6 月共发生 29 起攻击事件，造成7490 万美元的损失。

Polymarket前端网络钓鱼攻击详情

Polymarket 的网络钓鱼攻击并未利用平台智能合约或核心基础设施的漏洞。相反，攻击者通过一个第三方供应商的漏洞入侵，该供应商的访问权限被攻破，使攻击者能够将恶意脚本直接注入 Polymarket 的前端界面。

这种区别至关重要。用户与看似正常的 Polymarket 界面交互时，却在不知不觉中暴露于旨在窃取其已连接钱包资金的代码之下。这种攻击方式隐蔽、无声，却十分有效。

通过第三方供应商注入恶意代码

Polymarket 在 X 上披露了这起事件，证实第三方供应商遭到入侵，并被利用向部分用户的平台前端推送了恶意脚本。该平台对事件的处理流程进行了简明扼要的描述：发现问题、遏制事态发展、移除恶意脚本、退款。

“今天早上我们发现一家第三方供应商遭到入侵，恶意脚本被注入到我们部分用户的前端界面。我们已经控制住了局面，并移除了受影响的依赖项。我们正在联系受影响的用户，并全额退款。” Polymarket Traders 于 2026 年 6 月 25 日发布公告称。

区块链分析师斯佩克特将此次事件归类为网络钓鱼攻击，而非直接的协议漏洞利用。注入的脚本会等待用户与被入侵的界面交互，然后激活以从已连接的钱包中窃取资金。

攻击影响及受影响的钱包

Specter估计，至少11个受害钱包的损失约为294万美元。被盗资产以PUSD形式持有，随后被兑换成ETH，并集中到一个统一的地址——这种模式与DeFi盗窃案发生后迅速洗钱的手段相符。

此次损失规模凸显了前端攻击的有效性。即使只有相对较少的钱包被盗用，损失金额也接近三百万美元，这反映了部分用户在预测市场平台上持有的仓位规模之大。

平台响应和用户补偿

Polymarket在发现安全漏洞后迅速采取行动。恶意依赖项被移除，事件得到控制，平台承诺补偿所有受影响用户的全部损失。

事件控制与恶意依赖消除

应对措施遵循清晰透明的步骤：隔离受影响的组件，将其从平台移除，并公开沟通。Polymarket 确认，他们主动联系了受影响的用户，而不是被动地等待用户主动报告。

这种方法——主动联系用户并承诺全额退款——反映出 DeFi 平台越来越意识到，一旦用户信任被打破，重建信任远比弥补损失的金额要困难得多。

承诺为受影响用户提供全额退款

承诺全额赔偿所有受影响用户意义重大。虽然具体的退款时间和分配机制尚未公布，但这一公开承诺直接关系到Polymarket的声誉。对于一个依赖用户参与和流动性的预测市场平台而言，这种问责制既关乎财务，也关乎战略。

将此次漏洞置于加密货币安全背景下进行分析

Polymarket事件并非孤立事件。它发生在加密货币安全故障频发的季度，而这个季度此前已经创下了令人担忧的记录。

DefiLlama报告称，2026年第二季度加密货币安全漏洞数量创历史新高

DefiLlama 将 Polymarket 数据泄露事件记录为2026 年第二季度的第 89 起加密货币安全事件，创下该分析平台有史以来追踪到的季度事件数量最高纪录。仅此一项就足以表明存在系统性问题：攻击数量更多、频率更高，且涉及的平台和攻击途径也更加广泛。

根据 DefiLlama 的数据，过去 30 天内，私钥泄露造成的损失占所有攻击损失的 43% 。伪造证据攻击占 10%，反向 MEV 蜜罐攻击占 8%。Polymarket 攻击并非源于私钥或协议漏洞，而是源于前端供应链的入侵，这表明随着传统攻击手段防御措施的改进，攻击者正在拓展其攻击方法。

2026年6月漏洞和损失概述

DefiLlama报告称，仅在2026年6月，就因29起加密货币漏洞攻击而损失7490万美元。这一数字超过了5月份的6050万美元，但仍远低于4月份的6.44亿美元——4月份发生了一些今年金额最大的DeFi盗窃案。

六月份最大的单次攻击事件是针对 Humanity Protocol 的3600 万美元漏洞利用。其他值得关注的攻击包括针对 Secret Network 桥接器的 470 万美元漏洞利用、两起分别影响 Aztec 的 210 万美元漏洞利用，以及针对 Taiko 的 170 万美元桥接器漏洞利用。在此背景下，Polymarket 294 万美元的损失在六月份的攻击事件中按金额计算处于中等水平——但其攻击方式和背景使其具有特别重要的参考价值。

Polymarket 此前发生的安全事件

6 月份的前端攻击并非 Polymarket 本季度首起安全事件。大约一个月前，该平台披露了一起涉及更早漏洞的独立安全事件。

六年前的私钥泄露，导致60万美元损失

攻击者利用一个与内部充值操作钱包关联的六年前的私钥，窃取了约 60 万美元。安全研究人员 ZachXBT、PeckShield 和 Bubblemaps 最初在 Polygon 平台上发现了与 Polymarket 的 UMA CTF Adapter 合约相关的可疑活动。Bubblemaps 指出，攻击者每 30 秒提取 5000 个 POL，最终估计损失总额约为 60 万美元。

关于事故根本原因和平台安全性的澄清

Polymarket协议贡献者Shantikiran Chanal随后澄清，早前的事件源于一个仅用于内部运营的钱包被盗用，并非平台合约或核心基础设施存在任何缺陷。工程副总裁Josh Stevens确认，用户资金和智能合约始终安全无虞，所有与被盗密钥关联的权限均已被撤销。

相隔一个月的两起独立事件，攻击手段截然不同——一起是因遗忘私钥，另一起是供应链供应商被攻破——给一个在快速增长的同时还要应对遗留安全债务的平台描绘了一幅严峻的挑战图景。尤其是前端网络钓鱼攻击，凸显了许多 DeFi 平台都面临的一类风险，但很少有平台能够完全防范：即对运行在其界面上的第三方代码的隐性信任。

常问问题

Polymarket网络钓鱼攻击是如何发生的？

攻击者入侵了第三方供应商，并将恶意代码注入到 Polymarket 的前端界面。当用户与被入侵的界面交互时，脚本会被激活，直接从用户绑定的钱包中窃取资金。

Polymarket网络钓鱼攻击中被盗金额是多少？有多少用户受到影响？

至少11个用户钱包中约有294万美元被盗。被盗的PUSD被兑换成ETH，并集中到一个钱包地址中，该地址已被区块链分析师Specter确认。

Polymarket是如何应对网络钓鱼攻击的？

Polymarket已移除恶意依赖项，控制了事件，并承诺全额退款给所有受影响的用户。该平台还表示正在直接联系受影响的用户。

从加密货币安全趋势的角度来看，此次攻击的更广泛背景是什么？

DefiLlama 将此次攻击记录为 2026 年第二季度发生的第 89 起加密货币安全漏洞事件，创下该季度单季度事件数量最高纪录。仅 2026 年 6 月，就有 29 起漏洞利用事件造成 7490 万美元的损失，其中私钥泄露造成的损失占近期漏洞利用损失的 43%。

本文由人工智能辅助生成，并经编辑团队审核。