知名链上观察者Specter今日揭露一起波及多个钱包的重大资产流失事件,涉及Polymarket平台约11个账户,总损失金额接近294万美元。被盗资产为PUSD代币,随后被迅速兑换为以太坊(ETH)并转移至单一最终地址。目前确认受害方已明确,但随着链上追踪深入,实际受损账户数量可能进一步扩大。
自去年以来,Polymarket持续成为网络钓鱼与社会工程攻击的目标。攻击者惯用手法是诱导用户在伪造网站输入登录凭证,从而在用户未察觉时完成钱包清空。本月早些时候,平台工程副总裁Josh Stevens公开通报一例案例:一名用户因误输一次性密码至假冒页面,导致其基于邮箱的Magic Link账户被入侵,瞬间损失逾200万美元。该事件被明确归因于第三方仿冒站点,而非平台底层架构缺陷。
在本次事件前,5月曾发生Polygon链上UMA CTF Adapter合约遭窃案,损失达52万美元。链上调查员ZachXBT指出,此次攻击根源在于部署密钥泄露,暴露出开发流程中的安全短板,表明平台在关键组件管理方面存在系统性风险。
围绕未来可能推出的POLY代币空投的猜测,正显著提升平台用户面临的社会工程学威胁。6月25日,有用户发现Polymarket官网FAQ内容发生变更,此前关于“无代币计划”的表述已被移除,且不再提及“暂无空投安排”。此前,首席营销官Matthew Modabber曾在2025年10月证实团队确有构建具备长期价值和真实用途的代币规划。此信息释放后,大量用户开始调整交易策略以争取空投资格,客观上为诈骗者提供了可乘之机。
当前社交媒体上充斥着各类声称可验证空投资格的虚假工具和申领页面,利用用户对奖励的期待实施精准诱骗。这些伪装成官方服务的界面,已成为新一轮网络犯罪的主要载体。
平台面临的挑战远不止外部攻击。去年12月,安全机构SlowMist在GitHub上发现一个嵌入恶意代码的跟单交易机器人,其设计目的为窃取用户私钥并外传。今年3月,StepSecurity进一步揭示,一个被攻陷的GitHub组织正分发带有隐蔽后门的假交易脚本,意图侵入用户设备。
更深层的信誉风险来自营销层面。据某财经媒体披露,Polymarket曾向多位网红支付每月2000至3000美元报酬,要求其发布经过剧本化设计的视频,展示所谓“惊人盈利”。这些内容不仅刻意隐瞒赞助关系,且在表现力不足时被强制重拍,甚至要求将虚构收益包装成个人真实经历,严重损害公众对平台透明度的信任。
综合过往钓鱼攻击、恶意软件传播与虚假宣传等多重因素,尽管平台预测市场未平仓合约规模已攀升至14.8亿美元的历史高位,但其整体安全生态与用户保障机制仍受到广泛质疑,亟需建立更健全的风险防控体系。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.