損失294萬美元：Polymarket網絡釣魚攻擊，一個月內發生第二起數據泄露事件

針對 Polymarket 前端的網絡釣魚攻擊暴露了去中心化金融領域最頑固的漏洞之一：供應鏈。攻擊者無需破壞協議的智能合約就能竊取數百萬美元，他們只需入侵某個隱藏在熱門平臺代碼後臺的第三方供應商即可。

要點總結

受感染的第三方供應商向 Polymarket 的前端注入了惡意代碼，從而發動了網絡釣魚攻擊，從至少 11 個用戶錢包中竊取了約294 萬美元。
Polymarket 移除了惡意依賴項，控制了漏洞，並承諾全額退款給所有受影響的用戶。
區塊鏈分析師 Specter 證實，被盜的 PUSD 已兌換成 ETH 併合併到一個地址中。
DefiLlama 將該事件記錄爲2026 年第二季度的第 89 起加密貨幣安全漏洞事件，這是其記錄中最高的季度事件數量。
根據 DefiLlama 的數據，2026 年 6 月共發生 29 起攻擊事件，造成7490 萬美元的損失。

Polymarket前端網絡釣魚攻擊詳情

Polymarket 的網絡釣魚攻擊並未利用平臺智能合約或核心基礎設施的漏洞。相反，攻擊者通過一個第三方供應商的漏洞入侵，該供應商的訪問權限被攻破，使攻擊者能夠將惡意腳本直接注入 Polymarket 的前端界面。

這種區別至關重要。用戶與看似正常的 Polymarket 界面交互時，卻在不知不覺中暴露於旨在竊取其已連接錢包資金的代碼之下。這種攻擊方式隱蔽、無聲，卻十分有效。

通過第三方供應商注入惡意代碼

Polymarket 在 X 上披露了這起事件，證實第三方供應商遭到入侵，並被利用向部分用戶的平臺前端推送了惡意腳本。該平臺對事件的處理流程進行了簡明扼要的描述：發現問題、遏制事態發展、移除惡意腳本、退款。

“今天早上我們發現一家第三方供應商遭到入侵，惡意腳本被注入到我們部分用戶的前端界面。我們已經控制住了局面，並移除了受影響的依賴項。我們正在聯繫受影響的用戶，並全額退款。” Polymarket Traders 於 2026 年 6 月 25 日發佈公告稱。

區塊鏈分析師斯佩克特將此次事件歸類爲網絡釣魚攻擊，而非直接的協議漏洞利用。注入的腳本會等待用戶與被入侵的界面交互，然後激活以從已連接的錢包中竊取資金。

攻擊影響及受影響的錢包

Specter估計，至少11個受害錢包的損失約爲294萬美元。被盜資產以PUSD形式持有，隨後被兌換成ETH，並集中到一個統一的地址——這種模式與DeFi盜竊案發生後迅速洗錢的手段相符。

此次損失規模凸顯了前端攻擊的有效性。即使只有相對較少的錢包被盜用，損失金額也接近三百萬美元，這反映了部分用戶在預測市場平臺上持有的倉位規模之大。

平臺響應和用戶補償

Polymarket在發現安全漏洞後迅速採取行動。惡意依賴項被移除，事件得到控制，平臺承諾補償所有受影響用戶的全部損失。

事件控制與惡意依賴消除

應對措施遵循清晰透明的步驟：隔離受影響的組件，將其從平臺移除，並公開溝通。Polymarket 確認，他們主動聯繫了受影響的用戶，而不是被動地等待用戶主動報告。

這種方法——主動聯繫用戶並承諾全額退款——反映出 DeFi 平臺越來越意識到，一旦用戶信任被打破，重建信任遠比彌補損失的金額要困難得多。

承諾爲受影響用戶提供全額退款

承諾全額賠償所有受影響用戶意義重大。雖然具體的退款時間和分配機制尚未公佈，但這一公開承諾直接關係到Polymarket的聲譽。對於一個依賴用戶參與和流動性的預測市場平臺而言，這種問責制既關乎財務，也關乎戰略。

將此次漏洞置於加密貨幣安全背景下進行分析

Polymarket事件並非孤立事件。它發生在加密貨幣安全故障頻發的季度，而這個季度此前已經創下了令人擔憂的記錄。

DefiLlama報告稱，2026年第二季度加密貨幣安全漏洞數量創歷史新高

DefiLlama 將 Polymarket 數據泄露事件記錄爲2026 年第二季度的第 89 起加密貨幣安全事件，創下該分析平臺有史以來追蹤到的季度事件數量最高紀錄。僅此一項就足以表明存在系統性問題：攻擊數量更多、頻率更高，且涉及的平臺和攻擊途徑也更加廣泛。

根據 DefiLlama 的數據，過去 30 天內，私鑰泄露造成的損失佔所有攻擊損失的 43% 。僞造證據攻擊佔 10%，反向 MEV 蜜罐攻擊佔 8%。Polymarket 攻擊並非源於私鑰或協議漏洞，而是源於前端供應鏈的入侵，這表明隨着傳統攻擊手段防禦措施的改進，攻擊者正在拓展其攻擊方法。

2026年6月漏洞和損失概述

DefiLlama報告稱，僅在2026年6月，就因29起加密貨幣漏洞攻擊而損失7490萬美元。這一數字超過了5月份的6050萬美元，但仍遠低於4月份的6.44億美元——4月份發生了一些今年金額最大的DeFi盜竊案。

六月份最大的單次攻擊事件是針對 Humanity Protocol 的3600 萬美元漏洞利用。其他值得關注的攻擊包括針對 Secret Network 橋接器的 470 萬美元漏洞利用、兩起分別影響 Aztec 的 210 萬美元漏洞利用，以及針對 Taiko 的 170 萬美元橋接器漏洞利用。在此背景下，Polymarket 294 萬美元的損失在六月份的攻擊事件中按金額計算處於中等水平——但其攻擊方式和背景使其具有特別重要的參考價值。

Polymarket 此前發生的安全事件

6 月份的前端攻擊並非 Polymarket 本季度首起安全事件。大約一個月前，該平臺披露了一起涉及更早漏洞的獨立安全事件。

六年前的私鑰泄露，導致60萬美元損失

攻擊者利用一個與內部充值操作錢包關聯的六年前的私鑰，竊取了約 60 萬美元。安全研究人員 ZachXBT、PeckShield 和 Bubblemaps 最初在 Polygon 平臺上發現了與 Polymarket 的 UMA CTF Adapter 合約相關的可疑活動。Bubblemaps 指出，攻擊者每 30 秒提取 5000 個 POL，最終估計損失總額約爲 60 萬美元。

關於事故根本原因和平臺安全性的澄清

Polymarket協議貢獻者Shantikiran Chanal隨後澄清，早前的事件源於一個僅用於內部運營的錢包被盜用，並非平臺合約或核心基礎設施存在任何缺陷。工程副總裁Josh Stevens確認，用戶資金和智能合約始終安全無虞，所有與被盜密鑰關聯的權限均已被撤銷。

相隔一個月的兩起獨立事件，攻擊手段截然不同——一起是因遺忘私鑰，另一起是供應鏈供應商被攻破——給一個在快速增長的同時還要應對遺留安全債務的平臺描繪了一幅嚴峻的挑戰圖景。尤其是前端網絡釣魚攻擊，凸顯了許多 DeFi 平臺都面臨的一類風險，但很少有平臺能夠完全防範：即對運行在其界面上的第三方代碼的隱性信任。

常問問題

Polymarket網絡釣魚攻擊是如何發生的？

攻擊者入侵了第三方供應商，並將惡意代碼注入到 Polymarket 的前端界面。當用戶與被入侵的界面交互時，腳本會被激活，直接從用戶綁定的錢包中竊取資金。

Polymarket網絡釣魚攻擊中被盜金額是多少？有多少用戶受到影響？

至少11個用戶錢包中約有294萬美元被盜。被盜的PUSD被兌換成ETH，並集中到一個錢包地址中，該地址已被區塊鏈分析師Specter確認。

Polymarket是如何應對網絡釣魚攻擊的？

Polymarket已移除惡意依賴項，控制了事件，並承諾全額退款給所有受影響的用戶。該平臺還表示正在直接聯繫受影響的用戶。

從加密貨幣安全趨勢的角度來看，此次攻擊的更廣泛背景是什麼？

DefiLlama 將此次攻擊記錄爲 2026 年第二季度發生的第 89 起加密貨幣安全漏洞事件，創下該季度單季度事件數量最高紀錄。僅 2026 年 6 月，就有 29 起漏洞利用事件造成 7490 萬美元的損失，其中私鑰泄露造成的損失佔近期漏洞利用損失的 43%。

本文由人工智能輔助生成，並經編輯團隊審覈。