重點摘要

駭客在第三方供應商被妥協並向平台前端注入惡意腳本後，從 11 個使用者錢包竊取了約 $3.1 million 的 Polymarket PUSD 代幣。Polymarket 已移除該相依項，表示已控制住問題，並承諾向受影響的 PUSD 持有人全額退款。被竊資產已從 Polygon 移轉到 Ethereum，區塊鏈情報公司持續追蹤相關活動。此事件發生在先前的安全問題與有關 Polymarket 推廣作法聯邦調查報導之後。

情緒分析

• 本文整體情緒介於混合與負面。事件描述了一起重大安全漏洞，對使用者造成財務損失並削弱對平台的信心。同時，平台迅速承認並承諾全額退款，帶來糾正性且具安撫效果的元素。下方進度條視覺化呈現以負面為主、但被正面回應所緩和的情緒。

文章內容

Polymarket 證實，在攻擊者利用被妥協的第三方供應商向平台前端注入惡意腳本後，約有 310 萬美元的原生 PUSD 代幣從 11 個使用者錢包被竊。根據區塊鏈情報公司 AMLBot，被竊資產已自 Polygon 移除並迅速橋接至 Ethereum。該公司表示正在積極監控相關地址，同時調查人員追蹤資金流向。

Polymarket 公開表示，他們在發現第三方供應商被妥協並引入影響部分使用者的惡意腳本時，發現了這起違規事件。團隊表示已將問題遏止、移除有問題的相依項，並開始聯絡受影響的使用者。Polymarket 向受影響者承諾，將對 PUSD（作為平台的擔保與結算代幣，用於交易）的持有人發放全額退款。

資安公司迅速發布了相關報告。PeckShield 描述了一個針對 Polymarket 使用者的網路釣魚活動，並指出攻擊者最初移動的資產價值約為數千枚 ETH。Specter Analyst 提供了相似評估，在調查早期階段估計損失約為 294 萬美元。個別受害者也回報錢包遭妥協，並公開分享錢包地址以尋求答案。

Polymarket 在近幾個月曾面臨其他安全挑戰。三月時，調查者 ZachXBT 指出一起疑似與 Polygon 智能合約相關的入侵，報告兩個合約被抽走約 52 萬美元；Polymarket 其後表示核心資金仍然安全。去年十二月，成員反映資金遺失與可疑登入嘗試，且疑似與未明第三方登入供應商有關，Polymarket 也指出該供應商很可能是該事件的來源。這些反覆出現的問題已增加外界對平台安全姿態的檢視。

此網路釣魚事件發生之際，媒體報導亦暗示 Polymarket 可能正面臨與聲稱在社群媒體上誇大勝利者宣傳有關的聯邦調查。雖然 Polymarket 尚未公開確認任何監管調查的細節，但安全漏洞與監管審查並存，已引發使用者與觀察者對營運控制與促銷作法的擔憂。

Polymarket 的即時應對以遏止與補救為重點：移除受影響的第三方相依項、通知受影響使用者，並向失去資金者提供以 PUSD 支付的全額退款。平台未立即回應部分媒體尋求對該事態發展評論的詢問。區塊鏈情報公司與獨立研究者持續追蹤被竊資產跨鏈的流動，以蒐集攻擊者手法及後續洗錢嘗試的更明確證據。

隨著調查進行，使用者與產業觀察者可能會密切關注更多細節，包括第三方供應商如何被妥協，以及攻擊是否利用了前端的某些特定整合或驗證流程。 此事件凸顯了在去中心化平台上依賴第三方服務的更廣泛風險， 尤其當這些服務能存取在使用者瀏覽器執行的程式碼時。強化供應鏈安全、進行嚴格的第三方稽核，以及提升使用者對網路釣魚風險的教育，是觀察者建議用以降低未來曝險的幾項措施。

總之，雖然 Polymarket 承諾退款可緩解受影響使用者的即時財務損失，但此一事件可能對使用者信任產生較長期的影響，並可能導致更嚴格的監管與社群對平台作法與安全控制的檢視。

關鍵見解表