Ai总结： 2026年6月25日，Polymarket因第三方供应商遭入侵，导致前端注入恶意脚本，11个Polygon钱包损失近300万美元PUSD。资金经跨链桥转移至以太坊并兑换为1893枚ETH，目前仍在链上追踪中。

Polymarket遭遇第三方供应链攻击，用户资产遭大规模盗取

2026年6月25日，Polymarket平台遭受严重安全事件，起因系其依赖的外部服务提供商被攻破，攻击者借此向平台前端植入恶意JavaScript代码。该代码在用户连接钱包时自动激活，诱导签署交易授权，致使多个钱包中的原生抵押代币PUSD被转移。

攻击源头为前端依赖项，非核心合约漏洞

此次威胁并未触及Polymarket的智能合约系统，而是通过一个被入侵的第三方前端服务实现渗透。该供应商负责提供网站运行所需脚本，攻击者利用其漏洞将恶意代码嵌入用户浏览器环境。

当用户访问平台并连接钱包时，脚本伪装成正常操作提示，诱导用户批准交易，从而将资产控制权交予攻击者。这一过程隐蔽性强，多数用户未察觉异常。

多钱包受损，资金迅速跨链转移

链上分析显示，超过11个钱包在Polygon网络上遭受损失，总金额约为294万美元。调查员Specter率先披露了相关线索，指出主要资金归集地址为0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD。

Polymarket在收到公开报告约15分钟后确认问题存在，并立即下线受影响的外部依赖模块。平台声明已采取紧急措施控制事态，同时启动对受害用户的赔偿流程。

资金流向以太坊，中转路径已被识别

被盗的PUSD在短时间内通过跨链桥转入以太坊网络，这是典型的资产清洗手段。进入以太坊后，资金被迅速兑换为约1,893枚ETH。

PeckShield验证了此转化行为，并追踪到多个中间节点地址，包括0xC771A30a、0xC44F2Ca6、0x10366AdB和0x7BCECe0d，这些均在资金路由过程中扮演关键角色。

值得注意的是，尽管代币被盗规模巨大，但PUSD在事件期间维持了稳定锚定价格，表明其底层机制未受破坏，损失集中于个人钱包层面。

平台承诺全额赔偿，历史事件凸显基础设施风险

Polymarket已明确表示将对所有受波及用户进行全额退款。目前正通过链上地址与受害者建立直接联系，确保补偿机制落地。

这并非平台首次面临周边安全问题：2026年5月曾发生内部操作钱包被盗事件，损失约50万美元；2025年初亦出现评论区钓鱼攻击造成部分用户资产流失。三起事件共同揭示了一个模式——协议本身稳健，但外围生态环节仍存薄弱点。

当前被盗的ETH仍处于可追踪状态，调查团队持续监控主归集地址动向。涉事第三方供应商身份及最终受害人数尚未对外公布，事件后续进展仍待进一步披露。