Polymarket披露，由于其外部供应商的安全漏洞，使攻击者能够将恶意代码插入到部分用户的前端中。被篡改的脚本驱动了一场钓鱼攻击，诱使受害者批准欺诈交易，随后从他们连接的钱包中提取资金。

“我们已控制住事件，”Polymarket表示，并补充说它已删除受影响的依赖项，并且“全额退款。”该公司强调，其核心基础设施和链上市场并未受到攻击，薄弱环节是一家通过Polymarket网站提供代码的第三方供应商。

区块链安全公司Peckshield估计，损失大约为300万美元，损失来自超过11名受害者。此外，这次攻击是经典的供应链妥协，攻击者瞄准一个受信任的供应商，以便渗透更大平台，而不是直接攻击该平台的系统。

图片来源：X

由于恶意代码存在于网站的前端而非基础智能合约中，因此漏洞影响到了大多数用户实际交互的层面。访问被攻破页面的用户被提示签署看似合法的交易，但实际上将资产的控制权交给了攻击者。

总而言之，锁定在Polymarket链上市场的资金并没有直接面临风险，但批准伪造交易的用户却看着他们的钱包被清空。

Polymarket表示，它正在迅速处理退款，个别联系受害者，吸收来自其外部墙体之外的安全漏洞所带来的成本（这一举动可能旨在维护其快速增长的用户群体的信任）。

此外，这一安全漏洞发生在预测市场蓬勃发展的时期，Polymarket和竞争对手Kalshi共同推动了四月的创纪录月份。仅Polymarket已处理超过1亿笔交易，使其成为加密领域中最活跃的平台之一。

这种增长的规模并没有被观察者忽视，导致该平台最近部署了Chainalysis监控工具以监控市场的完整性。同时，美国立法者对预测市场的内幕交易保障进行了调查，一项共和党法案试图禁止国会议员及其家属对政策结果进行赌博。

6月的事件增加了这一系列关注事项中的运营安全。而尽管退款承诺可能限制声誉损害，但现实仍然是，预测市场与交易所和DeFi协议一样，现正被视为复杂攻击者的有利可图的目标。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。