Polymarket 300萬美元供應鏈駭客攻擊：資金盜竊與誠信危機

這次攻擊暴露了加密貨幣平台的一個典型弱點：即使區塊鏈智能合約本身是安全的，第三方依賴關係也可能引入漏洞。由於惡意程式碼是在真正的 Polymarket 網域上運行的，用戶在與合法網站互動時，被引導批准了詐騙交易 。

Polymarket 採取了哪些安全措施？

Polymarket 即時在 X/Twitter 上發布公告，採取的應對措施包括：

• 立即控制並移除了遭入侵的第三方前端元件
• 全額退款給所有受影響用戶——公司承諾賠償所有受害者
• 正在進行調查，但 Polymarket 拒絕透露涉事供應商的名稱

公司的反應相當迅速——在事發當日上午就發現並確認了這次入侵。然而，這已是 Polymarket 在不到兩個月內發生的第二起安全事件。2026年5月中旬，該平台曾因私鑰洩露導致內部錢包被駭，損失約70萬美元 。那次事件雖然沒有直接影響用戶資金，但已預示了 Polymarket 營運安全上的弱點，這次供應鏈攻擊則徹底印證了這些疑慮。

虛假行銷醜聞

就在駭客攻擊發生前幾天，2026年6月20日，《華爾街日報》發表了一篇重磅調查報導，揭露 Polymarket 付費給社群媒體創作者，製作他們在平台上贏得大筆金額的假影片 。

WSJ 調查的主要發現：

• 分析師審查了社群平台上 1,105 部關於 Polymarket 的影片。其中有 778 部展示了在克隆網站上的假賭注——這些影片無一使用真實的 Polymarket 交易所 。
• 這些影片號稱的總中獎金額高達 190萬美元 。
• Polymarket 為創作者提供了如何策劃假賭注的指導材料 。
• 2026年6月26日——也就是駭客攻擊的隔天——全國消費者權益協會提起訴訟，指控 Polymarket 策劃虛假行銷、支付祕密廣告費用，並在隱瞞輸錢機率的同時，積極鎖定大學生作為目標 。
• Polymarket 回應表示正在審查其所有推廣內容 。

WSJ 的報導詳細指出，一家名為 Virality 的行銷公司管理著這個創作者網絡，每月支付創作者 2,000 到 3,000 美元——但前提是他們的觀眾中至少有 60% 必須來自美國，儘管預測市場在美國的監管地位仍不明確 。

雙重危機如何相互加劇

接連而來的醜聞，從幾個層面共同侵蝕了用戶對 Polymarket 的信任：

時間點至關重要：駭客攻擊發生在WSJ 調查報導發布的5天之後，這意味著安全漏洞立即驗證了那些批評者的論點——他們認為 Polymarket 的營運和道德標準早已鬆散不堪。該公司現在同時面臨安全、法律與信譽的三重危機，且短期內似乎找不到重建用戶信任的明確途徑。

對加密貨幣平台的廣泛啟示

Polymarket 的供應鏈攻擊是加密貨幣安全領域一個更廣泛趨勢的縮影。針對第三方供應商的供應鏈攻擊日益常見，因為它們能繞過區塊鏈基礎設施本身強大的安全性。這次的攻擊手法——透過受損的前端依賴注入惡意 JavaScript——雖然是已知漏洞，但如果沒有嚴格的供應商審查和程式碼完整性控制，仍然難以防範 。

對於任何與加密平台互動的用戶而言，Polymarket 事件凸顯了幾個教訓：

• 僅有智能合約安全是不夠的，如果前端依賴關係被攻陷
• 第三方供應商的風險需要持續監控，而非僅在合作初期進行盡職調查
• 短時間內連續發生多起安全事件，通常反映出系統性的弱點，而非偶然的個別失誤

Polymarket 事件也突顯了，當安全漏洞緊接在虛假行銷曝光之後發生，對品牌聲譽的傷害是何等巨大。用戶可能會想：如果一個平台願意向大眾隱瞞真實的賭注結果，那還有什麼是他們不願意隱瞞的呢？

Polymarket 已承諾全額退款，但該公司至今仍未公布被入侵的供應商名稱，也未說明未來將如何防止類似事件再次發生 。在缺乏透明度和實質性安全改進的情況下，重建用戶信任之路將格外漫長。