开篇
Polymarket 于周五遭遇一起安全事件:链上调查员 ZachXBT 标记出一笔疑似资金外流,指向与该预测市场 Polygon 基础设施相关联的钱包,最初报告称有超过 52 万美元的资金疑似丢失。随后,Polymarket 开发者承认了该事件,并确认存在一个用于奖励操作的“内部补资(internal top-up)”钱包的私钥泄露,同时表示用户资金和市场结果仍然安全。链上分析平台 Bubblemaps 随后估算,总损失约为 70 万美元,窃取资金分布在 16 个地址之间,并通过中心化交易所及其他服务进行转接。
事件细节
Polymarket 的开发团队于 2026 年 5 月 22 日发布声明,回应安全报告:“调查结果指向用于内部补资操作的钱包私钥被泄露,而不是合约或核心基础设施。”声明强调,用户资金和市场裁定不受该事件影响。
Bubblemaps 的分析在最初披露后一小时多发布,给出了对该漏洞更详细的评估。平台称,约 70 万美元资金被利用并分发至 16 个地址,随后被盗资产再通过中心化交易所及其他金融服务进行路由转移。
涉事钱包用于奖励付款,独立于处理用户资金并决定市场结果的核心合约。Polymarket 上的预测市场通过合约运行:合约会记录下注,并在外部服务确认结果后向胜出者支付。
技术评估与专家分析
BlockSec 联合创始人兼香港中文大学副教授 Andy Yajin Zhou 对 Decrypt 表示,该机构的初步审查与 Polymarket 对事件的描述一致。“基于我们的初步分析,这看起来并不像是适配器合约逻辑或预测市场基础设施本身存在缺陷,”Zhou 表示。“在这个阶段,我们尚未发现任何证据表明存在协议层面的漏洞利用、预言机操纵或适配器驱动的市场基础设施中的通用性漏洞。”
Zhou 指出,该事件反映了运营安全风险,包括密钥管理、访问控制、签名策略、监控以及围绕用于日常操作的钱包的其他防护措施。
区块链安全公司 Cyvers 得出相似结论:认为该事件影响的是运营或管理员钱包,而不是 Polymarket 的核心合约或市场结算系统。Cyvers 的资深安全运营负责人 Hakan Unal 对 Decrypt 表示:“即便预测市场协议在智能合约层面是安全的,特权级适配器或管理员钱包仍然是一个关键的攻击面,只要密钥管理或运营安全被破坏。”
将运营安全视为行业风险
加密基础设施开发商 Horizontal Systems 的策略负责人 Dan Dadybayo 将该事件描述为攻击者瞄准加密项目方式更大转变的一部分。“这越来越像是密钥管理失败,而不是智能合约被利用,”Dadybayo 对 Decrypt 表示。“加密领域出现的有趣变化在于,攻击者不再主要是破坏协议本身。他们正在瞄准协议周边的运营层:管理员钱包、权限以及基础设施。”
该事件突显了预测市场平台中,协议层安全与运营基础设施安全之间的区别。
