Polymarket 確認 $3M 透過第三方漏洞對用戶的竊盜

Polymarket 確認，駭客在 6 月透過一個遭入侵的第三方供應商，從超過 11 名用戶手中竊取約 300 萬美元。根據區塊鏈安全公司 Peckshield 的說法，該攻擊涉及惡意前端程式碼，透過釣魚手法誘騙用戶批准詐騙交易。該公司表示將全額退款所有受影響的受害者，並強調其核心基礎設施與鏈上市場並未直接遭到入侵。此事件凸顯了預測市場在快速成長與監管審查加劇之際所面臨的安全挑戰。

Polymarket 將攻擊溯源至第三方供應商程式碼注入

Polymarket 揭露，其一家外部供應商遭入侵，導致攻擊者得以對部分用戶的前端注入惡意程式碼。遭竄改的腳本驅動了一場釣魚攻擊，誘騙受害者批准詐騙交易，進而從其連接的錢包中盜取資金。

「我們已控制住此事件，」Polymarket 表示，並補充說已移除受影響的依賴項。該公司強調，其自身的核心基礎設施與鏈上市場並未遭到入侵，弱點在於第三方供應商——該供應商的程式碼是透過 Polymarket 網站提供給用戶的。

區塊鏈安全公司 Peckshield 估計，超過 11 名受害者的損失約為 300 萬美元。這是一起供應鏈入侵事件，攻擊者鎖定可信供應商以接觸更大平台，而非直接攻擊該平台的系統。

由於惡意程式碼存在於網站的前端而非底層智慧合約，因此此次攻擊影響了大多數用戶互動的層面。載入遭入侵頁面的訪客會被提示簽署看似正常的交易，但實際上卻將資產控制權交給了攻擊者。鎖在 Polymarket 鏈上市場中的資金從未直接面臨風險，但批准了偽造交易的用戶，其錢包內的資產被清空。

圖片來源：X

公司確認所有受影響用戶將獲全額退款

Polymarket 表示，正在個別聯繫受害者並處理退款，自行吸收起源於其基礎設施外部的入侵事件所帶來的成本。該公司將「全額」退還受影響用戶。

該平台迄今已處理超過 1 億筆交易，是加密貨幣領域最活躍的場所之一。Polymarket 與競爭對手 Kalshi 在 4 月共同創下了月度交易量紀錄。

預測市場面臨更高的安全與監管審查

Polymarket 最近部署了 Chainalysis 監控工具，以監控市場完整性。美國立法者已就內線交易防護措施對預測市場展開調查，其中一項共和黨法案旨在禁止國會議員及其家人就政策結果進行投注。

共和黨眾議員 Bryan Steil 提出了《禁止議員預測法案》(Stop Lawmakers from Predicting Act)，該法案將禁止眾議員、其家人及高階幕僚在預測市場平台上進行交易。

常見問題

Polymarket security breach 在 6 月的安全漏洞事件中發生了什麼？

駭客透過一個遭入侵的第三方供應商注入惡意程式碼，從超過 11 名 Polymarket 用戶手中竊取了約 300 萬美元。該攻擊利用前端釣魚手法，誘騙用戶批准詐騙交易，進而清空其連接的錢包。

Polymarket 如何回應受影響的用戶？

Polymarket 確認將全額退款所有受影響的受害者，並表示已透過移除遭入侵的第三方依賴項來控制住事件。該公司強調其核心基礎設施與鏈上市場並未直接遭到入侵。