预测市场平台Polymarket遭遇重大安全事件,由于其依赖的第三方前端服务遭受攻击,11个用户钱包资金被窃,总损失达310万美元。值得注意的是,经审计的底层智能合约系统未受波及,问题根源指向用户交互界面层。被盗资产为PUSD代币,已通过跨链桥从Polygon网络转移至以太坊,为追踪带来技术可行性。
攻击者并未直接入侵核心协议,而是瞄准了连接用户与智能合约之间的网页前端。该前端由外部服务商维护,负责处理用户操作请求。在此次事件中,攻击者疑似在前端代码中植入恶意脚本,使用户在访问时的授权请求被非法劫持并重定向。在此期间,受影响用户的钱包权限被滥用,资金在未察觉情况下被提取。由于攻击点位于合约上游,即使合约本身经过严格审计,也无法提供有效防护。
自2024年起,美国商品期货交易委员会(CFTC)已对Polymarket开展针对美国用户访问权限的专项调查,质疑其预测市场是否构成未经注册的商品合约。该平台在2024年美国总统选举期间热度飙升,其竞选赔率数据频繁被主流媒体引用,虽推动用户增长,却也引发监管高度关注。当前,一场持续性的监管审查与一起高调的黑客事件同时发生,形成双重压力,严重削弱公众信任。
截至目前,Polymarket未宣布是否将对受害者进行补偿,亦未公开被攻击的前端供应商身份,此举极大限制了外部安全团队对攻击路径的复盘能力。与此同时,CFTC正在进行的调查使得任何信息披露都可能影响监管程序,平台陷入被动局面。尽管被盗资金已转入以太坊网络,具备可追溯性,但由于前端漏洞属于供应链攻击范畴,历史案例显示,此类事件的资金追回极为罕见,最终能否追回仍取决于执法机构是否主动介入。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.