Polymarket зазнав злому: 11 гаманців пограбовано на 3,1 млн доларів, другий раз за півроку постраждав від атаки на ланцюг постачання.

Polymarket 供应链攻击事件的损失金额已升至约 310 万美元，共 11 个用户钱包遭洗劫；尽管平台数日前已承诺全额退款，截至周六上午仍未对外公开回应。
（前情提要：《纽时》爆 Meta 正开发预测市场 App「Arena」，祖克柏眼红 Polymarket？）
（背景补充：DeFi 再传安全警报！Token of Power 遭骇 158 万美元，赃款全流入 Tornado Cash）

去中心化预测市场 Polymarket 本周惊传遭遇供应链攻击。根据区块链情报公司 AMLBot 周六在 X 更新：共有 11 个用户钱包遭洗劫，损失金额已升至约 310 万美元，资金以平台原生代币 PUSD 计价，被盗后立即透过 Polygon 桥接到以太坊主网。

Polymarket Under Attack

Polymarket users were drained of ~$3.1M in PUSD on Polygon via phishing / malicious EIP-7702 delegated execution.

Funds were converted to USDC.e via Relay, bridged to Ethereum, swapped to ETH, and consolidated at… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) June 27, 2026

供应链攻击：恶意指令码从前端下手

事件发生在周四。Polymarket 当天在 X 官方声明：「今早发现一个第三方供应商遭入侵，向部分用户前端注入恶意指令码，已控制并移除受影响依赖，正联络受影响用户并全额退款。」平台强调 Polygon 智能合约本身未受影响，这是一场针对前端接口的供应链攻击，攻击者渗透的是外部依赖套件，而非合约逻辑。

受害者 Ash 在 X 自述，钱包被骇时完全不知原因，事后才意识到资金已转出，并公开分享了自己与攻击者的钱包地址，成为最早的公开受害案例之一。

平台承诺退款，但安全问题并非首次

Polymarket 共同创办人相关人士 William LeGate 公开表态将全额偿付，强调叫户「不会损失」。然而，这并非 Polymarket 第一次面临安全风险。

链上调查员 ZachXBT 今年 3 月指出，Polygon 上两个疑似与 Polymarket 相关的智能合约被转走逾 52 万美元，平台当时回应称资金安全。更早在去年 12 月，用户陆续通报资金丢失与可疑登入后，平台才在 Discord 确认一起安全事件，归咎于不明第三方登入供应商，与此次攻击手法如出一辙：第三方被入侵，Polymarket 前端成为攻击跳板。

接下来退款承诺能否兑现、攻击者的 310 万美元能否被追回，以及 Polymarket 是否会公开第三方供应商漏洞的完整技术细节，这三个问题，将是市场接下来最关注的焦点。