Polymarket周五早间遭遇合约漏洞攻击，损失逾60万美元加密货币。尽管涉案金额巨大，多名安全分析师强调用户资金及市场结果未受影响。

一位专家指出，若攻击者利用被入侵合约中的其他控制权限，事件后果可能严重得多。

Polymarket攻击事件始末

链上侦探ZacXBT调查显示，攻击涉及Polygon链上Polymarket的UMA CTF Adapter合约。截至报道时，涉案金额已攀升至近70万美元。

安全专家0xAbdul随后解析了攻击手法：首笔60余万美元USDC来自Polygon特定钱包0x8F98（UMA CTF Adapter管理员账户），疑似一次性盗取。

0xAbdul指出Polymarket的自动化系统助推了攻击——该平台每30秒自动向预言机gas钱包充值5,000枚POL。攻击者持续70分钟截获约120次充值，累计盗取约60万枚POL。

关键问题在于Polymarket的响应速度：直到密钥轮换后，攻击才被终止。

潜在更大危机

0xAbdul披露，攻击者通过16个子地址经ChangeNOW洗钱后，还遗留更严重隐患：被盗管理员钱包不仅存有USDC和POL，更持有UMA Adapter的「手动结算权限」。

这意味着攻击者可强制篡改Polymarket上任意预测市场结果——通过建立巨额头寸后，触发手动结算功能绕过预言机，在一小时安全窗口后按有利方向结算市场。

Polymarket首席开发员Josh Stevens后续说明：事件源于一个6年前旧私钥泄露，该密钥仍配置在内部充值系统中。目前已完成密钥轮换、撤销所有生产权限，并将迁移至KMS托管密钥体系。

联邦调查启动

同日，美国众议院监督委员会主席James Comer宣布对Polymarket和Kalshi展开正式调查，要求两家平台CEO提交防止内幕交易的相关措施，包括国内外账户身份验证、地域限制执行及异常交易监测机制。

另据彭博社报道，Polymarket正筹备进军日本市场，已任命当地代表并计划在2030年前取得政府批准。

头图由OpenArt生成，图表来自TradingView.com