Polymarket前端漏洞致约300万美元被盗

先说几个关键数字：大约300万美元被盗，受影响的账户不到15个。这不是Polymarket的核心协议被攻破，而是前端页面的漏洞被攻击者盯上了。

被盗金额约300万美元

Polymarket在X平台发布说明，确认攻击者利用前端页面漏洞实施了盗取。链上分析机构Bubblemaps给出的损失估算约为300万美元，波及账户少于15个。攻击者的目标很明确——主要转走了用户钱&包中的pUSD。pUSD是Polymarket平台内部的美元稳定币，由USDC支撑，主要用于站内交易结算。得手后，这些pUSD迅速被兑换成ETH，并汇集到一个以太坊地址中。

• 估算损失约300万美元
• 受影响账户少于15个
• 被盗资产主要为pUSD，后换成ETH

公司称前端问题已清除

Polymarket表示前端漏洞已经得到控制并移除，平台正在推进赔付流程。不过公司没有公开具体是哪一家供应商遭到入侵，也没有进一步回应相关细节。有意思的是，这次攻击并非直接针对核心协议，而是通过外部服务环节悄悄渗透进网站前端。事件再次证明：哪怕核心系统固若金汤，外围供应链上的任何一个薄弱环节，都可能成为致命的突破口。

两个月内第二起安全事件

这已经是Polymarket近两个月内第二次被安全问题找上门。上个月，平台一只用于员工发放和补充用户奖励的钱&包也曾遭攻击，造成约70万美元的损失。当时外界普遍认为那起事件更可能与私钥泄露有关，且并未波及平台基础设施。相比之下，这次直接影响到用户端页面和部分用户资金，暴露出的问题也更深一层——第三方服务依赖带来的风险，远不止“多一个环节”那么简单。

两次事件接连发生，让人不得不重新审视这类平台的供应链安全策略。毕竟，用户资产安全，从来不只是核心合约的事。