首頁LBank 新聞中心
Polymarket 將於 294 萬美元前端釣魚攻擊後向用戶退款
polymarket-to-refund-users-after-2-94m-frontend-phishing-attack
Polymarket 將於 294 萬美元前端釣魚攻擊後向用戶退款
Polymarket 表示,第三方供應商遭到入侵,導致一場網路釣魚攻擊,從至少 11 個用戶錢包中竊取了約 294 萬美元。該平台已移除惡意依賴項,控制了事件,並表示所有受影響的用戶將獲得全額退款。DefiLlama 將此次攻擊記錄為第二季度第 89 起加密貨幣安全漏洞,這是其記錄中按事件數量計算的最高季度總數。
2026-06-26 來源:crypto.news

Polymarket 已證實,攻擊者入侵了一家第三方供應商,並利用該權限將惡意程式碼注入平台前端,導致一場網路釣魚攻擊,估計從用戶那裡竊取了約 294 萬美元。

摘要
  • Polymarket 表示,一家第三方供應商遭入侵,導致網路釣魚攻擊,從至少 11 個用戶錢包中竊取了約 294 萬美元。
  • 該平台已移除惡意依賴項,控制住事件,並表示所有受影響的用戶將獲得全額退款。
  • DefiLlama 將此次攻擊記錄為第二季第 89 起加密貨幣安全事件,創下其記錄中單季度事件數量的最高紀錄。

Polymarket 在 X 上揭露,他們已移除受影響的依賴項,控制住事件,並將全額賠償受影響的用戶。

區塊鏈分析師 Specter 估計,在惡意腳本出現在平台前端後,此次攻擊從至少 11 個錢包中盜走了資金。

前端遭入侵瞄準用戶錢包

Specter 將此次攻擊識別為網路釣魚活動,而非協議漏洞利用。該分析師表示,注入的腳本讓攻擊者在用戶與受損介面互動後,能夠竊取已連接錢包中的資金。

DefiLlama 將此次事件記錄為第二季第 89 起報告的加密貨幣安全漏洞,使其成為該平台記錄中單季度事件數量的最高紀錄。

DefiLlama 還報告稱,6 月份共發生 29 起加密貨幣漏洞攻擊,造成 7,490 萬美元損失。該總額超過了 5 月份的 6,050 萬美元,但仍遠低於 4 月份的 6.44 億美元。

該平台將價值 3,600 萬美元的 Humanity Protocol 漏洞攻擊列為 6 月份最大規模的攻擊。其他重大事件包括涉及 Secret Network 橋的 470 萬美元漏洞攻擊,兩起分別影響 Aztec 的 210 萬美元漏洞攻擊,以及 Taiko 上 170 萬美元的橋接漏洞攻擊。

DefiLlama 報告稱,在過去 30 天內,私鑰洩露佔漏洞攻擊損失的 43%。偽造證明漏洞攻擊佔損失的 10%,而反向 MEV 蜜罐佔 8%。

先前漏洞攻擊可追溯至遭盜用私鑰

Polymarket 在約一個月前揭露了一起單獨的安全事件,當時攻擊者利用一個用於內部儲值操作的六年期私鑰,竊取了約 60 萬美元。

安全研究人員,包括 ZachXBT、PeckShield 和 Bubblemaps,最初標記了 Polymarket 在 Polygon 上的 UMA CTF 適配器合約所涉及的可疑活動。Bubblemaps 報告稱,攻擊者每 30 秒提領 5,000 POL,隨後估計總損失約為 60 萬美元。

Polymarket 協議貢獻者 Shantikiran Chanal 後來將該事件歸因於用於內部操作的遭盜用錢包,而非平台合約或核心基礎設施中的漏洞。

該公司工程副總裁 Josh Stevens 當時表示,用戶資金和智能合約保持安全,並且已撤銷與遭盜用私鑰相關的所有權限。