Polymarket这次最刺眼的地方,不是黑客偷了多少钱,而是用户可能在正常访问网站时中招。
公司说,问题来自第三方供应商被攻破。攻击者向Polymarket网站注入恶意代码,影响了部分用户。Polymarket称事件已经被遏制,正在联系受影响用户,并承诺全额退款。
这听起来像一次标准安全事故处理。但放在Polymarket身上,问题更重:预测市场卖的是概率,平台先得让人相信桌子没被动过。
现在确认了什么,没确认什么
目前能落地的事实不多。够用,也够让用户先停一停。
| 问题 | 目前信息 | 该怎么读 |
|---|---|---|
| 攻击入口 | 第三方供应商被攻破 | 不是Polymarket官方确认核心系统被攻破,但供应链风险已经进入用户路径 |
| 攻击方式 | 恶意代码被注入网站 | 风险不只来自钓鱼链接,也可能来自用户以为可信的前端页面 |
| 影响范围 | 部分用户资金被盗 | 具体人数、时间窗口、受影响路径尚未披露 |
| 平台处置 | 称已遏制,并全额退款 | 这是止损动作,不是技术复盘 |
| 外部估算 | PeckShield称约300万美元被盗,链上分析师称超过11名受害者 | 只能当外部监测口径,不能写成官方定论 |
Polymarket发言人向TechCrunch确认,入侵导致用户资金被盗。但公司没有披露更多技术细节。
供应商是谁?恶意代码存在多久?哪些页面或流程受影响?是否还有未发现损失?这些问题目前看不清。
对普通用户和活跃交易者来说,最现实的动作不是立刻下结论,而是先降风险:检查账户授权、留意异常交易、暂停大额操作,等平台给出更具体的复盘。对做内容或带单的创作者来说,也该收紧口径。平台信用受损时,任何“稳赚”“高额赢单”的表达都会变成反噬。
第三方不是挡箭牌,退款也不是结案书
Web3平台常讲资产自主、链上透明、用户掌控。事故发生时,责任结构却很传统:供应商出问题,用户丢钱,平台赔。
这说明Polymarket不是一个纯链上协议。它有网站,有前端,有支付入口,有推广链路,也有外部供应商。用户信任的不是某一段智能合约,而是整套交易体验。
所以第三方漏洞不能把平台摘出去。你把供应商接进用户路径,就把它接进自己的信用边界。
古人说“祸起萧墙”。放到今天,萧墙可能就是一段被加载的脚本,一个被攻破的供应商后台。历史不完全一样,但权力结构很像:城门没破,内门先开。
全额退款当然该肯定。很多加密项目连这一步都做不到。
但退款只解决已知损失,不解决信任问题。用户真正想知道的是:下一次打开Polymarket网页,看到的还是不是平台自己想让他看到的东西。
安全事故最怕含糊。技术细节可以晚一点讲,但不能长期只剩一句“已控制”。
信用账被两件事叠在一起算
更麻烦的是,这起事故不是孤立发生。
就在几天前,Polymarket刚被曝曾付费让创作者发布误导性视频,展示所谓高额赢单,而这些投注实际上是假的。公司回应称会审计推广内容。
一边是营销真实性被质疑,一边是网站注入攻击导致部分用户资金被盗。两件事性质不同,却会在用户心里合并成同一个判断:平台到底是在管理风险,还是在事后补洞。
预测市场的表层产品是赔率。底层产品是信任。
用户押注前,要相信市场没有被操纵。充值和交易时,要相信前端没有被污染。看到推广内容时,要相信平台没有用假故事制造暴富幻觉。
Polymarket现在的问题,不是某个漏洞有多大,而是信用账户连续扣款。一次退款可以止住短期舆论出血,却不能自动恢复余额。
我更在意三件事:它是否披露技术复盘,是否说明供应链审计机制,是否把营销审计结果公开到足以让外部验证。
如果这些都没有,“已控制”就只是平台自己给自己盖章。用户会观望,重仓交易者会降低仓位,合作方也会重新评估推广和接入成本。这不是情绪问题,是交易平台的基本成本上升。
预测市场可以承受用户输钱。它承受不了用户怀疑桌子本身不干净。桌子一脏,赔率再漂亮,也没人敢坐太久。