Polymarket 已确认,攻击者入侵了第三方供应商,并利用该访问权限将恶意代码注入到平台的前端,从而导致网络钓鱼攻击,导致用户损失了约 294 万美元。
- Polymarket 表示,第三方供应商的入侵导致了一次网络钓鱼攻击,该攻击从至少 11 个用户的钱包中窃取了约 294 万美元。
- 该平台删除了恶意依赖项,遏制了该事件,并表示所有受影响的用户将获得全额退款。
- DefiLlama 将此次攻击记录为第二季度第 89 起加密货币安全漏洞,这是有记录以来事件总数最高的季度。
Polymarket 在 X 上透露,它已经删除了受影响的依赖项,控制了事件,并将全额赔偿受影响的用户。
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
— Polymarket Traders (@PolymarketTrade) June 25, 2026
区块链分析师 Spectre 估计,在恶意脚本出现在平台前端后,这次攻击至少耗尽了 11 个钱包的资金。
It appears there may be a phishing attack targeting Polymarket users, with estimated losses of $2.94M so far.
— Specter (@SpecterAnalyst) June 25, 2026
The attacker has drained funds from 11+ victim wallets holding PUSD, swapped the stolen assets for ETH, and consolidated the proceeds into the following address:… pic.twitter.com/6WfS0JhdDG
前端攻击目标是用户钱包
Spectre 将该攻击确定为网络钓鱼活动,而不是协议漏洞。该分析师表示,注入的脚本使攻击者能够在用户与受感染的界面交互后从连接的钱包中窃取资金。
DefiLlama 记录该事件为第二季度第 89 起报告的加密安全漏洞,使其成为该平台记录中事件总数最高的季度。
DefiLlama 还报告称,6 月份的 29 次加密货币攻击造成了 7490 万美元的损失。该总额超过 5 月份的 6050 万美元,但仍远低于 4 月份的 6.44 亿美元。
该平台将价值 3600 万美元的Humanity Protocol 漏洞列为 6 月份最大的攻击。其他重大事件包括涉及 Secret Network 桥的价值 470 万美元的漏洞、影响 Aztec 的两个单独的价值 210 万美元的漏洞,以及 Taiko 上价值 170 万美元的桥漏洞。
DefiLlama 报告称,过去 30 天内,私钥泄露造成了 43% 的漏洞利用损失。防伪漏洞占损失的 10%,而反向 MEV 蜜罐占 8%。
先前的漏洞可追溯到私钥受损
大约一个月前,Polymarket 披露了一起单独的安全事件,攻击者利用用于内部充值操作的六年私钥并窃取了约 600,000 美元。
包括 ZachXBT、PeckShield 和 Bubblemaps 在内的安全研究人员最初在 Polygon 上标记了涉及 Polymarket 的 UMA CTF 适配器合约的可疑活动。 Bubblemaps 报告称,攻击者每 30 秒撤回 5,000 个 POL,预计总损失约为 600,000 美元。
Polymarket 协议贡献者 Shantikiran Chanal 后来将该事件归因于用于内部操作的钱包被盗,而不是平台合约或核心基础设施中的漏洞。该公司工程副总裁乔什·史蒂文斯 (Josh Stevens) 当时表示,用户资金和智能合约仍然安全,并且与受损密钥相关的所有权限均已被撤销。