Polymarket 資安漏洞曝光：第三方供應商遭駭後損失 300 萬美元

預測市場平台 Polymarket 已確認，駭客在利用一家遭到入侵的第三方供應商後，竊取了約 300 萬美元的用戶資產，凸顯出加密貨幣平台即使核心區塊鏈基礎設施安全無虞，仍面臨日益嚴峻的網路安全風險。

此事件於 2026 年 6 月 25 日披露，據公司表示，受影響帳戶不足 15 個。儘管受害人數有限，但此次盜竊規模在數位資產行業引發了廣泛關注，原因在於攻擊者並未利用 Polymarket 智能合約或區塊鏈基礎設施的漏洞，而是透過外部服務供應商滲透平台，直接將惡意程式碼注入 Polymarket 網站。

公司表示漏洞已消除，並承諾對所有受影響用戶進行全額賠償。儘管如此，此次資安事件再度引發外界對第三方供應商安全性的擔憂，以及針對加密貨幣平台的供應鏈攻擊日趨複雜的問題。

第三方供應商成為入侵切入點

據 Polymarket 表示，攻擊從其中一家外部供應商遭駭開始。雖然公司尚未公開點名涉事服務供應商，但此次入侵使攻擊者得以將惡意程式碼注入平台的前端基礎設施。

由於該程式碼是透過 Polymarket 的線上網站傳遞，造訪平台的用戶毫無異狀察覺。惡意腳本與正常網站功能同步執行，使攻擊者得以鎖定特定用戶，同時避免立即被發現。

來源：Xpost

網路安全專家通常將此技術描述為供應鏈攻擊，即攻擊者入侵受信任的第三方供應商，而非直接嘗試滲透主要目標。

此類攻擊在科技行業愈來愈普遍，因為它們利用的是企業與供應商之間的信任關係。

攻擊者不必突破多層內部安全防線，而是透過滲透軟體供應商、雲端服務、分析工具或組織日常依賴的其他外部系統，獲取間接存取權限。

在 Polymarket 的案例中，這種信任連結最終成為竊取客戶資產的門戶。

約 300 萬美元數位資產遭竊

區塊鏈調查人員隨後確認，攻擊者主要鎖定 pUSD，即在 Polymarket 生態系統中廣泛使用的穩定幣。

盜竊發生後，被盜代幣迅速透過去中心化交易機制兌換為 Ether（ETH）。

將被盜穩定幣兌換為 ETH 是加密貨幣駭客的常見手法，因為這會使交易追蹤更加複雜，並增加追回被盜資金的難度。

鏈上分析顯示，攻擊者行動迅速，表明此次行動在惡意程式碼部署前已經過縝密策劃。

駭客並非隨機盜竊，而是明顯鎖定餘額相對較大的錢包。

儘管確認受害者不足 15 人，總損失仍高達約 300 萬美元，顯示個人帳戶持有相當可觀的數位資產。

公司承諾全額賠償

Polymarket 在發現入侵後迅速回應，確認惡意程式碼已從網站移除，且漏洞已完全封堵。

公司表示，所有受影響客戶將獲得全額賠償，確保沒有任何用戶因此事件蒙受永久財務損失。

雖然賠償可降低即時財務衝擊，但業界分析師指出，重建用戶信心往往比彌補被盜資金更具挑戰性。

信任仍是加密貨幣平台最寶貴的資產之一，尤其是處理真實資金交易和預測市場、用戶定期維持大量餘額的平台。

因此，Polymarket 的回應速度可能成為決定平台能否在現有用戶和潛在客戶中重建信心的重要因素。

第二起資安事件引發新質疑

此次最新資安事件也標誌著 Polymarket 在不足兩個月內發生的第二起重大資安事故。

2026 年 5 月，公司曾發生另一起網路安全事件，涉及與 Polygon 區塊鏈上獎勵分發相關的內部運營錢包。

那起早前的攻擊造成的損失估計在 52 萬至 70 萬美元之間（視資料來源而異），但並未直接影響客戶餘額。

與最新事件不同，5 月份的資安事件鎖定的是公司控制的錢包，而非用戶帳戶。

雖然兩次攻擊利用了不同的弱點，但其相近的時間點已引發網路安全專業人士和加密貨幣社群成員的高度關注。

接連發生的事件自然引發外界對內部安全程序、供應商監管、監控系統及事件偵測能力的質疑。

儘管兩次資安事件均未涉及 Polymarket 區塊鏈基礎設施本身的漏洞，但兩者都證明，營運安全遠不止於智能合約本身。

供應鏈攻擊為何格外危險

供應鏈攻擊已成為增長最快的網路安全威脅之一，因為它們利用的是信任，而非技術弱點。

當企業將外部軟體供應商整合到其網站或運營系統時，這些供應商實際上已成為企業自身基礎設施的延伸。

若攻擊者入侵其中一家供應商，惡意程式碼便可在不觸發傳統安全警報的情況下擴散至合法平台。

對於加密貨幣服務而言，後果可能尤為嚴重。

與遭入侵網站互動的用戶，往往在不知情的情況下批准錢包交易或簽署看似完全合法的惡意請求。

由於網站本身保持真實，大多數受害者在資產已被轉移後才有理由懷疑有任何異常。

將被盜 pUSD 迅速兌換為 ETH 的行為表明，攻擊者在發動行動前已建立好撤離策略。

這種預先準備與專門透過高度協調行動進行加密貨幣盜竊的有組織網路犯罪團伙的行為模式一致。

行業面臨加強供應商安全的日益增大壓力

Polymarket 事件反映了數位資產行業面臨的更廣泛挑戰。

隨著加密貨幣平台持續擴展基礎設施，它們在雲端運算、數據分析、軟體開發、支付處理和客戶互動方面對外部服務供應商的依賴日益增加。

每增加一項整合，就引入另一個潛在的漏洞點。

業界觀察人士預計，最新攻擊發生後，供應商風險管理將受到更大重視。

對第三方供應商進行獨立安全審計、持續監控前端程式碼、更嚴格的軟體驗證程序以及即時完整性監控，可能在加密貨幣平台中愈來愈普遍。

部分網路安全專家也倡導更廣泛採用基於瀏覽器的完整性驗證系統，以便在用戶與遭入侵的介面互動前偵測未經授權的網站修改。

儘管此類技術在 Web3 生態系統中仍相對罕見，但此類事件可能加速更廣泛的實施。

投資者應關注的後續發展

未來幾週可能決定市場最終如何看待此次事件。

幾項發展值得密切關注。

首先，用戶和業界觀察人士將期待更高的透明度，包括有關遭入侵供應商的信息和攻擊的精確技術細節。

其次，許多人期待 Polymarket 委託進行獨立安全審計，不僅評估其內部系統，還評估其與外部服務供應商的關係。

第三，交易活動將成為衡量用戶信心的重要指標。

若賠償程序完成後交易量和活躍用戶保持穩定，可能表明社群對平台長期安全性仍抱有信心。

相反，若活動持續下滑，則可能表明儘管公司承諾補償受影響用戶，聲譽損害仍將持續。

提醒：安全不僅止於區塊鏈

Polymarket 資安事件揭示了加密貨幣行業一個日益重要的現實：區塊鏈技術本身可以保持安全，而周邊基礎設施卻可能成為最薄弱的環節。

在這個案例中，攻擊並未利用去中心化技術或智能合約的缺陷。

相反，駭客成功利用一家遭入侵的第三方供應商滲透平台前端，展示了受信任的外部關係如何成為重大網路安全風險。

儘管受影響用戶不足 15 人，且所有損失預計將獲賠償，但此次事件再次提醒業界，營運安全必須與區塊鏈創新同步演進。

對 Polymarket 而言，挑戰現已超越財務賠償本身。

重建信任、加強供應商監管，以及展示改進後的網路安全實踐，將可能決定平台在預測市場行業競爭日益激烈的背景下如何被外界看待。