Polymarket称内部wallet密钥泄露后,57.3万美元资金被转移

先说一个核心判断：这次事件不是智能合约或核心协议的漏洞，而是内部流程中的一个老问题被曝光了。事情的主角是Polymarket，一个预测市场平台。5月22日，因为内部运营钱&包的一个旧私钥泄露，价值约57.3万美元的资产在Polygon网络上被转移。这个异常交易最先被链上侦探ZachXBT捕捉到，随后平台确认，问题并非出自合约，用户资金和市场结算流程均未受影响。 ### 要点总结 * **原因与损失**：一个旧内部私钥泄露，导致573,200美元被转移。核心智能合约未被触动。 * **资产追回**：Polymarket与安全合作伙伴联手，已成功冻结了164,000美元，约占被盗资产总额的28.6%。 * **亡羊补牢**：平台已经撤销了涉事密钥的生产访问权限，轮换了密钥，并将关键的操作密钥管理迁移到了KMS（密钥管理服务）。 --- ## Polymarket 确认：问题出在“内部钱&包密钥泄露” Polymarket的开发者团队在事件发生后很快做出了回应。他们表示监测到了与奖励支付相关的安全警报，但立即强调，用户资金和市场结算流程是安全的。调查结论指向一个用于内部运营的钱&包私钥泄露，而不是合约或核心系统存在缺陷。 工程副总裁Josh Stevens随后进一步澄清，无论是Polymarket还是UMA的智能合约，都没有受到攻击。他解释，这个被泄露的私钥已经存在了大约6年，一直存放在用于系统自动充值的内部配置里。问题在于，事发期间，资金还在持续被发送到这个已经暴露的地址。 ## ZachXBT 的警报：一个管理员地址的异常 最初的风声来自ZachXBT的Telegram频道。他发出警告，表示Polygon上的一个Polymarket管理员地址疑似被盗。当时他估计损失超过52万美元，并披露了攻击者钱&包地址的开头部分（0x8F98）。这个警报立刻引起了链上社区的警惕。

*频道内的警告帖，来源：ZachXBT* 随后，Lookonchain也引用了这个警报和Arkham的数据，初步估算的被盗金额更高，超过了66万美元。最初，链上的警报让很多人以为是合约出了漏洞，直到Polymarket官方澄清，才将焦点转向了内部运营钱&包的管理问题。 ## 57.3万美元被转移之后：16.4万美元被冻结 在随后的更新中，Stevens表示，Polymarket与ZachXBT、BitcoinVN以及ChangeNOW合作，成功冻结了大约16.4万美元。这个数字约占确认转移总金额（57.3万美元）的28.6%。这意味着，攻击者得手后，有将近三成的资产被及时截胡。

这里的数据前后有些差异：Stevens公布的数字低于Lookonchain最初估算的66万美元，但高于ZachXBT首次警告时提到的52万美元。这很正常，因为在链上追踪资金流向的不同时间点，账面上的数字是会变化的。 ## 紧急响应：轮换密钥并迁移至KMS 事件发生后，Polymarket的反应速度值得肯定。Stevens透露，平台已经立即轮换了所有受影响的私钥，撤销了与这些密钥相关的所有生产环境访问权限，并且将私钥管理整体迁移到了KMS。这几个步骤是加密安防的标准操作，但落实到位很关键。 这次迁移到KMS，标志着Polymarket在密钥管理方式上的一个实质性改变。对于任何加密平台来说，绑定在运营钱&包或管理员权限上的私钥，如果年深日久还躺在自动化流程中，就会成为一个巨大的单点风险。Polymarket声称已撤销相关生产权限，但并未披露涉事钱&包此前的权限范围到底有多大。 值得注意的是，同一天，Polymarket开发者团队也进行了一次计划内的维护，交易暂停了约5-10分钟，重启后切换为“仅发布模式”2分钟。虽然他们表示维护已完成，交易已恢复正常，但并未说明这次维护是否与私钥事件直接相关。 ## 尚未解答的几个关键问题 目前来看，还有一些核心细节有待Polymarket进一步披露： * 这个私钥究竟是怎么泄露出去的？ * 这个内部运营钱&包的访问权限到底覆盖了哪些环节？ * 除了已经冻结的16.4万美元，他们还有没有可能追回更多资产？ * 迁移到KMS是针对所有运营密钥的全面升级，还是只针对涉事的那一组密钥？ 这些问题，如果未来发布一份完整的事后分析报告，会更有价值。报告里应该能说清楚受影响的钱&包属于哪个具体操作流程，为什么一个用了6年的密钥还在服役，以及新的控制措施将如何从根本上改变内部流程，防止类似事件重演。