最近，Polymarket 的天气预测市场里发生的一起事件相当有意思。有人用一台吹风机就偷走了3万4000美元的攻击，但这并不只是单纯的诈骗，而是揭露出整个预测市场在结构层面存在的脆弱性。

事情的起因发生在4月。巴黎戴高乐机场（Charles de Gaulle）安装的气象传感器在短短12分钟内，气温竟然急剧上升了4度。随后，几乎在9天后，这种几乎相同的现象又再次出现。在两次事件中，Polymarket 的“巴黎最高气温”市场里都命中了特定的温度区间。通过两次计算好的操作，34,000美元流入了一个在仅48小时前开设的匿名账户。

法国的气象专家立刻察觉到异常。周边其他观测所没有出现相同的波动，也没有风力或湿度的变化。结论十分明确：有人把加热设备放在了传感器附近。之后，法国气象局发现了物理篡改的痕迹，并正式提起刑事诉讼。

在这里需要强调的是，这次攻击的关键并不是智能合约的脆弱性或者区块链本身的问题，而是规则本身存在缺陷。Polymarket 的气象市场完全依赖单一的传感器数据：没有对多个地点进行验证，也没有对异常数值进行过滤。之所以是这种规则，是因为它不考虑结算之后的数据是否会被修改——一旦污染后的数据被确认下来，就到此为止。

有些人把它称为“物理预言机攻击”。它不同于传统的数字预言机攻击，会绕过链上逻辑，直接影响现实世界中的金属探针。成本大约只要30欧元的吹风机，回报却是数万美金。这种极端的成本与回报差异，哪怕还不能称为“迷因污染”，也已经从根本上动摇了市场的可信度。

事件被发现后，Polymarket 并没有发布官方声明，只是把数据源从戴高乐机场更换到了勒布尔热机场（Le Bourget）。已经支付出去的34,000美元也没有退回。与其承认缺陷，不如更换探针来得更简单。

这件事所暗示的是：预测市场的设计真的非常困难。需要排除单点故障、管理物理可达性、并确保结算机制具备灵活性。这些都必须具备，但目前并没有做到。如果存在一个气温从0.1%飙升到95%的市场，那么一定会有人想方设法利用它。只要规则足够宽松，用吹风机就足够了。