Polymarket 遭前端釣魚入侵損失約 290 萬美元　平台承諾全數退款

區塊鏈分析員 Specter 指出，Polymarket 因第三方供應商遭入侵，攻擊者得以在平台前端植入惡意程式碼，啟動釣魚流程，最少 11 個用戶錢包被轉走資金。Specter 按與被污染用戶介面相關的資金流向估算，涉款約 294 萬美元。 Polymarket 已在 X 發文回應，稱已確認並完成遏止事件、移除受影響的依賴套件，並會向受影響用戶全額退款。Cointelegraph 就事件向 Polymarket 進一步查詢，截稿前未獲回覆。 DefiLlama 數據顯示，第二季按事件宗數計為歷來被入侵最頻繁的一季。單計 6 月，加密安全事故共錄得 29 宗，損失合計 7,490 萬美元，高於 5 月的 6,050 萬美元；但仍遠低於 4 月的 6.44 億美元，反映今年攻擊損失分布並不平均。 DefiLlama 亦列出 6 月多宗較大金額事故：Humanity Protocol 被利用損失 3,600 萬美元；Secret Network 跨鏈橋漏洞涉 470 萬美元；Aztec 兩宗獨立事故各 210 萬美元；Taiko 跨鏈橋事故約 170 萬美元。多宗個案再度凸顯跨鏈橋及複雜協議整合在出現漏洞或供應鏈組件遭污染時，往往成為損失集中點。 按 DefiLlama 對近 30 日損失的手法分類，私鑰外洩佔比最大（43%），其次為"fake proof"（10%）及反向 MEV 蜜罐（8%）。Specter 將 Polymarket 個案歸因於前端注入引發釣魚，性質上更貼近針對用戶的誘導操作，未必純粹屬鏈上漏洞。整體趨勢是攻擊者把供應鏈弱點與用戶層面的欺詐結合，以更高成功率轉移資金。 Polymarket 近期亦曾披露另一宗安全事件：約一個月前，平台指一條用於內部充值操作、已使用 6 年的私鑰被濫用，造成約 60 萬美元損失。工程副總裁 Josh Stevens 當時表示合約及用戶資金安全，並已撤銷該私鑰相關權限。 在 Polymarket 表示已移除受污染依賴套件並承諾退款後，市場將關注是否仍有殘餘風險，例如快取頁面、第三方腳本遺留或針對用戶授權的後續詐騙。同時，投資者與用戶亦會留意第二季的高發態勢會否延續，以及 DefiLlama 的手法拆解中，釣魚類事件會否在私鑰外洩之外進一步上升。