Polymarket 供應鏈攻擊事件的損失金額已升至約 310 萬美元,共 11 個用戶錢包遭洗劫;儘管平台數日前已承諾全額退款,截至週六上午仍未對外公開回應。
(前情提要:《紐時》爆 Meta 正開發預測市場 App「Arena」,祖克柏眼紅 Polymarket?)
(背景補充:DeFi 再傳安全警報!Token of Power 遭駭 158 萬美元,贓款全流入 Tornado Cash)
去中心化預測市場 Polymarket 本週驚傳遭遇供應鏈攻擊。根據區塊鏈情報公司 AMLBot 週六在 X 更新:共有 11 個用戶錢包遭洗劫,損失金額已升至約 310 萬美元,資金以平台原生代幣 PUSD 計價,被盜後立即透過 Polygon 橋接到以太坊主網。
Polymarket Under Attack
Polymarket users were drained of ~$3.1M in PUSD on Polygon via phishing / malicious EIP-7702 delegated execution.
Funds were converted to USDC.e via Relay, bridged to Ethereum, swapped to ETH, and consolidated at… pic.twitter.com/bG3GYZZ1D9
— AMLBot (@AMLBotHQ) June 27, 2026
供應鏈攻擊:惡意指令碼從前端下手
事件發生在週四。Polymarket 當天在 X 官方聲明:「今早發現一個第三方供應商遭入侵,向部分用戶前端注入惡意指令碼,已控制並移除受影響依賴,正聯絡受影響用戶並全額退款。」平台強調 Polygon 智能合約本身未受影響,這是一場針對前端介面的供應鏈攻擊,攻擊者滲透的是外部依賴套件,而非合約邏輯。
受害者 Ash 在 X 自述,錢包被駭時完全不知原因,事後才意識到資金已轉出,並公開分享了自己與攻擊者的錢包地址,成為最早的公開受害案例之一。
平台承諾退款,但安全問題並非首次
Polymarket 共同創辦人相關人士 William LeGate 公開表態將全額償付,強調叫戶「不會損失」。然而,這並非 Polymarket 第一次面臨安全風險。
鏈上調查員 ZachXBT 今年 3 月指出,Polygon 上兩個疑似與 Polymarket 相關的智能合約被轉走逾 52 萬美元,平台當時回應稱資金安全。更早在去年 12 月,用戶陸續通報資金丟失與可疑登入後,平台才在 Discord 確認一起安全事件,歸咎於不明第三方登入供應商,與此次攻擊手法如出一轍:第三方被入侵,Polymarket 前端成為攻擊跳板。
接下來退款承諾能否兌現、攻擊者的 310 萬美元能否被追回,以及 Polymarket 是否會公開第三方供應商漏洞的完整技術細節,這三個問題,將是市場接下來最關注的焦點。
