答案已發布25 來源
Polymarket 300 萬美元供應鏈攻擊全分析:黑客點樣偷走用戶資金?假賭注醜聞點樣令件事更嚴重?
2026 年 6 月 25 日,Polymarket 因為第三方供應商被入侵,黑客喺前端注入惡意 JavaScript,偷走咗約 300 萬美元用戶資金。 Polymarket 同日已經截斷攻擊、移除受影響嘅第三方組件,並承諾全數賠償受影響用戶。
10
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What happened in Polymarket's $3 million supply chain hack, how did the attackers steal user fund. Article summary: ## The Polymarket $3M Supply-Chain Hack and Its Credibility Crisis. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
2026 年 6 月 25 日,預測市場平台 Polymarket 發生供應鏈攻擊,大約 300 萬美元 嘅用戶資金被黑客偷走。呢件事發生喺《華爾街日報》踢爆 Polymarket 俾錢 KOL 拍假贏錢影片之後 僅僅五日,令平台嘅信譽危機變得更加複雜。呢次唔單止係安全漏洞,仲暴露咗平台喺第三方管理同誠信記錄方面嘅嚴重問題 。
黑客點樣偷走 300 萬美元?
黑客入侵咗 Polymarket 一個 身份不明嘅第三方供應商,呢個供應商負責平台嘅前端。黑客成功之後,喺 Polymarket 嘅前端注入咗 惡意 JavaScript 代碼,向部分用戶發出釣魚攻擊。要注意嘅係,Polymarket 嘅核心智能合約同區塊鏈基礎設施 冇被攻破,今次純粹係前端供應鏈攻擊 。
詳細技術細節如下:
- 攻擊目標:惡意腳本只針對 唔夠 15 個帳戶,區塊鏈分析公司 Bubblemaps 嘅數據顯示至少有 11 個錢包 被清空
。
- 被偷資產:黑客偷走嘅係 pUSD(Polymarket 喺 Polygon 網絡上發行嘅穩定幣)。之後將資金從 Polygon 跨鏈去 Ethereum,兌換成大約 1,893 個 ETH
。
- 損失估算:獨立安全分析師 Specter 確認損失為 294 萬美元,而 Polymarket 同其他媒體就講大約 300 萬美元
。
今次攻擊利用咗 Crypto 平台嘅一個常見弱點:就算區塊鏈智能合約好安全,第三方供應商嘅漏洞一樣可以成爲入口。用戶喺正版 Polymarket 網站上操作時,因為惡意代碼喺平台嘅真實域名上運行,所以喺不知情嘅情況下授權咗欺詐交易 。
Polymarket 採取咗咩安全措施?
Polymarket 喺 X(Twitter)上公佈咗即時應對方案:
- 截斷同移除受影響嘅第三方組件
- 全額賠償所有受影響用戶,公司承諾會令受害者攞返晒啲錢
- 雖然有進行緊調查,但 Polymarket 拒絕透露邊個供應商出事
公司反應算快,同一日上晝已經發現同確認事件。但係,呢次已經係 Polymarket 兩個月內第二次安全事故。2026 年 5 月中,平台內部嘅錢包因為私鑰洩漏,損失咗大約 70 萬美元 。雖然上次冇影響到用戶資金,但已經顯示 Polymarket 嘅營運安全有問題,而 6 月嘅供應鏈攻擊就進一步證實咗呢個弱點。
假贏錢影片營銷醜聞
喺黑客攻擊發生前幾日,2026 年 6 月 20 日,《華爾街日報》刊登咗一篇調查報導,踢爆 Polymarket 俾錢社交媒體創作者拍片,假裝喺平台贏大錢 。
報導重點如下:
- 分析師睇咗 1,105 條 關於 Polymarket 嘅社交媒體影片。778 條 顯示嘅係假賭注,全部喺仿冒網站上進行,冇一條用過真實嘅 Polymarket 平台
。
- 呢啲影片假裝顯示嘅贏錢總額高達 190 萬美元
。
- Polymarket 仲提供 教學材料 教創作者點樣造假
。
- 2026 年 6 月 26 日——即係黑客攻擊嘅第二日——美國全國消費者權益協會(National Association of Consumer Advocates)入稟起訴 Polymarket,指控平台使用欺騙性營銷手法、俾錢做隱藏廣告、專門針對大學生,同時隱瞞輸錢嘅真實機率
。
- Polymarket 回應話會 審查所有推廣內容
。
報導仲提到,一個叫 Virality 嘅營銷公司負責管理創作者網絡,每個月俾創作者 2,000 到 3,000 美元——條件係佢哋嘅觀眾至少要有 60% 嚟自美國,即使預測市場喺美國嘅監管狀況仍然唔明朗 。
呢兩件事點樣互相影響?
接連發生嘅醜聞喺幾個層面上加劇咗信任危機:
| 層面 | 影響 |
|---|---|
| 安全信任 | 兩個月內兩次入侵——5 月內部錢包被盜,6 月 300 萬美元供應鏈攻擊——顯示第三方供應商嘅風險管理嚴重不足 |
| 營運誠信 | 假影片醜聞證明 Polymarket 曾經主動誤導公眾。用戶自然有理由質疑所有推廣內容,甚至市場數據嘅真偽 |
| 監管風險 | 消費者權益訴訟加上黑客攻擊,令監管機構有更強嘅理由採取行動。Polymarket 之前已經被 CFTC 盯上,而且喺 2024 年因為經營未註冊交易所,同 SEC 達成 14 億美元 嘅和解協議 |
| 用戶信心 | 一個同時會造假贏錢結果、又無法保護前端免受常見攻擊(供應鏈 JavaScript 注入)嘅平台,用戶點敢放真錢落去? |
時間點好關鍵:黑客攻擊發生喺《華爾街日報》調查報導之後 五日,令到安全漏洞即時印證咗批評者嘅講法——Polymarket 嘅營運同道德標準低到危險。公司而家要同時面對 安全、法律同聲譽三重危機,要挽回用戶信任,難度好大。
對 Crypto 平台嘅啟示
Polymarket 嘅供應鏈攻擊係 Crypto 安全趨勢嘅一部分。針對第三方供應商嘅攻擊越嚟越常見,因為呢類攻擊可以繞過區塊鏈本身嘅強大安全機制。前端依賴組件被入侵、注入惡意 JavaScript,呢種攻擊方式喺業界好出名,但冇嚴格嘅供應商審查同代碼完整性監控,好難完全防範 。
對於任何 Crypto 平台嘅用戶,Polymarket 事件有幾個教訓:
- 智能合約安全唔夠,如果前端依賴組件被入侵,一切安全機制都冇用
- 第三方供應商風險 需要持續監控,而唔係一開始審查完就算
- 短時間內連續發生安全事故,代表嘅係系統性弱點,而唔係單一事件
Polymarket 嘅案例亦都顯示,當安全漏洞喺欺騙性營銷手法曝光後立即出現,對公司聲譽嘅打擊會更加大。用戶會問:如果一個平台願意欺騙公眾關於贏錢嘅結果,佢哋仲會喺其他方面呃人嗎?
Polymarket 承諾會全額賠償受影響用戶,但冇公開邊個供應商出事,亦冇詳細講點樣防止類似事件再發生 。如果冇透明度同實質嘅安全改善,要重建用戶信任將會係一條好漫長嘅路。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Polymarket 300 萬美元供應鏈攻擊全分析:黑客點樣偷走用戶資金?假賭注醜聞點樣令件事更嚴重?」的簡短答案是什麼?
2026 年 6 月 25 日,Polymarket 因為第三方供應商被入侵,黑客喺前端注入惡意 JavaScript,偷走咗約 300 萬美元用戶資金。
首先要驗證的關鍵點是什麼?
2026 年 6 月 25 日,Polymarket 因為第三方供應商被入侵,黑客喺前端注入惡意 JavaScript,偷走咗約 300 萬美元用戶資金。 Polymarket 同日已經截斷攻擊、移除受影響嘅第三方組件,並承諾全數賠償受影響用戶。
接下來在實務上我該做什麼?
美國全國消費者權益協會(National Association of Consumer Advocates)喺 6 月 26 日入稟起訴 Polymarket,指控平台使用欺騙性營銷手法,專門針對大學生。
來源
- mexc.com$2.94M Gone: Polymarket Phishing Attack Marks Second ...
- bleepingcomputer.comPolymarket customers lose $3 million in supply-chain attack
- en.bloomingbit.ioPolymarket Says Supply-Chain Hack Stole $3 Million, Starts Full ...
- mashable.comHackers nabbed funds from Polymarket users
- cryptonews.com.auPolymarket Vendor Breach Opens Door for $3M Crypto Heist
- pricepredictions.comPolymarket users lose $3 million after vendor frontend hack
- coingabbar.comPolymarket Security Breach: $3M Stolen in Third-Party Hack
- mexc.comPolymarket Hack: $3M Drained in Supply-Chain Frontend Attack
- techcrunch.comPolymarket says hackers stole users' funds | TechCrunch
- binance.comPolymarket Confirms Internal Wallet Hack – User Funds Remain Safe
- gizmodo.comHackers Steal Funds From Polymarket Users, Potentially Millions
- btcc.comPolymarket Hack Exposed: Third-Party Vulnerability Drains User Funds in DeFi Security Wake-Up Call
- cryptorank.io$3M Exploit Hits Polymarket: Users to Receive Full Refunds After ...
- ground.newsPolymarket Reportedly Paid Creators to Post Deceptive Videos About Fake Bets
- pcmag.comPolymarket Reportedly Paid Creators for Videos Featuring Fake Bets, Winnings
- mallory.aiThird-Party Breach at Polymarket Led to Nearly $3 Million in User ...
- cryptodnes.bgХакери откраднаха $2.9 милиона от потребители на Polymarket
- thenextweb.comPolymarket confirms hackers stole $3M from users after third-party ...
- ourcryptotalk.comPolymarket Hack Drains $3M in PUSD via Frontend Exploit
- ts2.techPolymarket hack puts ICE-backed prediction market in focus
- binance.comPolymarket Suffers Second Breach in Two Months As Third-Party ...
- cryptorank.ioPolymarket to Refund Users After Hackers Steal $3M in Frontend ...
- predictionnews.comPolymarket to reimburse users after third-party hack steals $3 million ...
- mexc.comHackers Hit Polymarket for $3M in Vendor Attack | MEXC News
- theverge.comPolymarket says it's refunding users after a third-party vendor was 'compromised.'
Loading comments...
Comments
0 comments