Ai总结： 2026年6月25日，Polymarket因第三方供应商遭入侵，导致前端注入恶意脚本，超11个钱包在Polygon网络上损失近300万美元PUSD。资金经跨链桥转移至以太坊并兑换为1,893枚ETH，目前仍可链上追踪。

Polymarket遭遇第三方供应链攻击，用户资产遭大规模盗取

2026年6月25日，去中心化预测市场平台Polymarket遭受一起严重供应链攻击，造成超过11个钱包在Polygon网络上损失约294万美元的PUSD代币。攻击者通过入侵一家前端代码提供方，向用户浏览器注入恶意JavaScript脚本，诱导用户授权交易，从而获取其资产控制权。

攻击路径溯源：前端注入成关键突破口

此次事件未触及Polymarket核心智能合约，而是利用了其前端依赖的第三方供应商漏洞。攻击者成功渗透该供应商系统，并将恶意代码嵌入平台前端，直接传递至用户设备。当用户连接钱包时，脚本自动触发，伪装成常规操作请求，诱导签署交易授权，致使PUSD资产被转移。

资金流向追踪：跨链转移与归集地址曝光

被盗资产在短时间内从Polygon网络通过跨链桥转入以太坊，作为洗钱流程的关键步骤。进入以太坊后，这些PUSD被迅速兑换为约1,893枚ETH。链上调查员Specter率先披露异常行为，确认主要归集地址为0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD。多个中转地址如0xC771A30a、0xC44F2Ca6、0x10366AdB及0x7BCECe0d亦被识别，用于分散资金流动轨迹。

平台应对：快速响应与全额赔付承诺

在链上调查员发布报告约15分钟后，Polymarket官方确认漏洞存在，并立即移除受影响的外部依赖项以遏制风险扩散。平台声明已启动全面应急机制，正主动联系所有受损钱包地址，并承诺对所有受害者进行全额赔偿。尽管事件影响重大，但PUSD代币本身锚定价格稳定，事件期间始终维持在0.9998美元附近，表明底层机制未受破坏。

历史模式再现：周边基础设施成安全短板

本次事件延续了Polymarket过往的安全挑战模式——协议本身稳固，但外围环节屡遭突破。此前2026年5月，内部操作钱包被盗导致50万美元损失；2025年初也曾因评论区钓鱼攻击引发用户资金外流。这再次凸显去中心化生态中第三方服务组件的脆弱性。当前被盗ETH仍处于可追踪状态，调查团队持续监控归集地址动向，涉事供应商身份及最终受害人数仍在进一步调查中。