Polymarket 遭供应链攻击损失 300 万美元：黑客如何盗取用户资金，虚假投注丑闻如何雪上加霜

这次攻击暴露了加密货币平台一个典型的弱点：即使区块链的智能合约是安全的，第三方依赖也可能引入漏洞。由于恶意代码运行在真实的 Polymarket 域名上，正常与平台交互的用户在不知不觉中被诱导批准了欺诈性交易 。

Polymarket 采取了哪些安全措施？

Polymarket 在 X（原 Twitter）上发布的即时响应包括：

• 控制并移除了受感染的前端第三方依赖项 。
• 全额赔付所有受影响用户——公司承诺将弥补受害者的全部损失 。
• 正在进行调查，但 Polymarket 拒绝透露所涉及供应商的名称 。

平台的响应相当迅速——在事发当日上午便发现并确认了这次入侵。然而，这已经是 Polymarket 在不到两个月内遭遇的第二次安全事件。早在 2026 年 5 月中旬，一次内部钱包私钥泄露就导致了约 70 万美元的损失 。那次事件虽然未直接影响用户资金，但已经暴露了 Polymarket 在运营安全上的短板，而 6 月份的供应链攻击则彻底证实了这些漏洞的存在。

欺骗性营销丑闻

就在黑客攻击发生前几天，也就是 2026 年 6 月 20 日，《华尔街日报》发布了一篇重磅调查报道，揭露 Polymarket 曾花钱请社交媒体创作者制作视频，假装自己在平台上赢得了巨额奖金 。

WSJ 调查的主要发现：

• 分析师审查了社交媒体上与 Polymarket 相关的 1,105 个视频，其中 778 个展示的是在仿冒网站上进行的虚假投注——没有一个使用了真实的 Polymarket 交易所 。
• 这些视频声称的奖金总额高达 190 万美元 。
• Polymarket 为创作者提供指导材料，教他们如何“演戏” 。
• 2026 年 6 月 26 日——也就是黑客攻击发生的第二天——全美消费者权益保护协会（National Association of Consumer Advocates）提起了诉讼，指控 Polymarket 策划了一场欺骗性营销活动，包括付费投放隐蔽广告、积极招募大学生用户，同时隐瞒亏损概率 。
• Polymarket 的回应是，正在审查其推广内容 。

WSJ 的报道还详细描述了负责管理创作者网络的营销公司 Virality，该公司每月向创作者支付 2,000 至 3,000 美元——前提是他们的受众中至少有 60% 位于美国，尽管预测市场在美国的法律地位尚不明确 。

两场危机如何相互叠加？

接踵而至的丑闻从多个维度引发了叠加的信任危机：

时机至关重要：黑客攻击发生在 WSJ 调查报道发布的 五天后，这立即印证了批评者的观点——Polymarket 的运营和道德标准已经到了危险松懈的地步。如今，该公司同时面临安全、法律和声誉三重危机，而要重新赢回用户信任，前路渺茫。

对加密货币平台的更广泛启示

Polymarket 的供应链攻击是加密货币安全领域一个更广泛趋势的一部分。针对第三方供应商的供应链攻击正变得越来越常见，因为它们绕过了区块链基础设施本身强大的安全性。通过被攻破的前端依赖项注入恶意 JavaScript 代码——这个攻击向量众所周知，但若没有严格的供应商审查和代码完整性控制，就难以防范 。

对于与任何加密货币平台交互的用户而言，Polymarket 事件再次强调了几个教训：

• 仅靠智能合约安全是不够的，如果前端依赖项被攻破，一切努力都可能白费
• 第三方供应商风险需要持续的监控，而不仅仅是事前的尽职调查
• 短时间内接连发生的安全事件往往指向系统性的缺陷，而非孤立的故障

Polymarket 的案例还凸显了一个问题：当安全漏洞紧接着欺骗性营销的曝光发生时，会对平台的声誉造成毁灭性打击。用户会不禁思考：如果一个平台愿意在赢钱结果上欺骗公众，那么在其他方面，它又愿意隐瞒什么？

Polymarket 已承诺全额赔付所有受影响用户，但该公司至今未公开被入侵的供应商名称，也未详细说明如何避免未来再次发生类似事件 。没有透明度和实质性的安全改进，重建用户信任将是一项艰巨的任务。