
Polymarket 最近的安全事件規模擴大,區塊鏈情報公司 AMLBot 將估計損失更新至約 310 萬美元。
該預測市場平台此前曾承諾向受影響的用戶退款,此前他們表示,一個第三方供應商遭到入侵,導致惡意代碼透過其前端傳播給部分用戶。
AMLBot 表示,駭客從 11 個用戶錢包中竊取了約 310 萬美元的 PUSD。該公司稱這些資金是從 Polygon 竊取並迅速橋接至以太坊。
此次更新將損失金額從此前估計的近 294 萬美元提高。Specter Analyst 最早指出這次攻擊是一場釣魚活動,從至少 11 個持有 PUSD 的錢包中竊取了資金。
Polymarket 在 6 月 25 日的一篇貼文中表示,他們發現一個第三方供應商遭到入侵。該公司表示,供應商問題讓攻擊者能夠將惡意腳本注入該平台部分用戶的前端。
「我們已經控制了它,並移除了受影響的依賴項。」該平台表示,他們還正在聯繫受影響的用戶,並「全額退款」。
這次攻擊似乎是透過網站介面而非核心協議針對用戶。這類攻擊可能誘騙用戶批准有害的錢包活動,而用戶卻以為他們正在使用正常平台。
PeckShield 表示,攻擊者將竊取的資金從 Polygon 橋接至以太坊,並將其兌換成約 1,893 枚 ETH。Specter 也表示,在釣魚活動後,這些資金被整合到一個以太坊地址中。
前端攻擊對用戶來說可能難以即時偵測。網站可能看起來正常,但瀏覽器中載入的代碼可能會產生不安全的錢包提示。
這起事件也將焦點放在第三方依賴項上。即使平台的智能合約保持不變,網站中使用的外部代碼也可能為連接錢包的用戶帶來風險。
最新事件之前,Polymarket 還發生過其他安全問題。今年 3 月,區塊鏈調查員 ZachXBT 發現一起疑似漏洞,據報導,有超過 52 萬美元從兩個 Polygon 智能合約中被盜。
Polymarket 後來表示,在此事件中資金是安全的。去年 12 月,該平台也在其 Discord 頻道上證實了一起事件,此前用戶報告資金遺失和可疑登入嘗試。
此前一份報告稱,DefiLlama 記錄最新這次攻擊是第二季度第 89 起加密貨幣安全漏洞。該報告還指出,這一數字使該季度成為有記錄以來報告事件數量最多的一個季度。
不斷增加的事件數量表明,為什麼平台現在必須對智能合約、錢包、登入系統、前端代碼和外部供應商進行更嚴格的檢查。
這次駭客攻擊發生之際,Polymarket 正面臨新的監管關注。一份最新報告指出,美國參議員 Adam Schiff 和 John Curtis 敦促 CFTC 審查與欺騙性廣告行為相關的指控。
參議員們質疑 Polymarket 是否透過模擬交易網站、虛假交易和未披露的付費影響者活動來推廣市場。他們也質疑 CFTC 是否有足夠的工具來監督預測市場並保護用戶。
Polymarket 和 Kalshi 也捲入一場關於體育賽事合約的更廣泛法律糾紛。肯塔基州指控預測市場公司提供未經許可的體育博彩,而 CFTC 則辯稱聯邦監管的賽事合約屬於其權力範圍。
如先前報導,這些案件可能會有助於決定與體育相關的預測市場主要受聯邦衍生品規則還是州賭博法的約束。