一起源于外部服务供应商的系统入侵,使攻击者得以在Polymarket的网页界面中嵌入恶意脚本,诱骗超过11名用户授权虚假交易,造成约300万美元资金流失。该平台已封锁漏洞源头并启动全额赔付机制,但此次事件再次暴露了前端安全在去中心化应用中的脆弱性。
据披露,攻击者并未直接突破Polymarket的核心系统,而是利用一个被劫持的第三方服务组件,将其代码注入平台前端页面。当用户访问时,加载的页面包含伪装成正常操作的签名请求,诱导其签署非法交易指令,从而将钱包控制权交予攻击者。这一手法属于典型的供应链攻击,凸显了现代Web3生态对开源依赖的高度敏感。
尽管智能合约本身未被篡改,且链上资金未遭直接动用,但所有损失均来自用户主动批准的交易行为。区块链安全机构Peckshield评估损失金额约为300万美元,涉及至少11名受害者。由于攻击发生在用户可见的浏览器端,而非底层协议层面,这使得传统审计手段难以提前识别风险。目前,Polymarket已彻底下线相关依赖模块,恢复系统自主管控能力。
当前预测市场正面临前所未有的监管压力。美国商品期货交易委员会(CFTC)已对肯塔基州提起诉讼,质疑其将预测市场归类为体育博彩的合法性,引发联邦与州级立法权的冲突。与此同时,Polymarket和Kalshi等平台交易量持续攀升,2026年4月创下新纪录,累计处理交易超一亿笔。在此背景下,此类前端攻击不仅考验技术防御,更放大了合规与信任危机。平台虽部署Chainalysis进行监控,但本次事件表明,仅靠后端风控无法应对日益复杂的前端威胁。
此次事件揭示出一个关键命题:即使智能合约绝对安全,前端交互环节仍可能成为整个系统的致命弱点。尽管平台迅速采取赔偿措施以稳定信心,但用户对界面可信度的疑虑仍在加剧,推动行业重新审视前端安全性标准。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.