Polymarket 供應商漏洞透過惡意程式碼盜取 $3M in 用戶資金
Polymarket 週四證實,一家受入侵的第三方供應商讓攻擊者將惡意程式碼注入該預測市場的前端,盜走約 300 萬美元的用戶資金。該攻擊並非針對 Polymarket 的智慧合約,而是透過受入侵的供應商將惡意腳本提供給部分用戶的瀏覽器,該腳本存取了用戶的錢包,並轉走了平台以 USDC 為擔保的穩定幣 pUSD。供應鏈攻擊已成為加密領域中越來越具吸引力的攻擊途徑,因為這類攻擊完全繞過了經過審計的鏈上程式碼,直接攻擊用戶鮮少檢視的網站層和外部依賴。 攻擊者透過受入侵的供應商注入惡意腳本 受入侵的供應商將惡意腳本提供給部分用戶的瀏覽器,該腳本存取了用戶的錢包,並轉走了平台用於結算所有交易的 USDC 擔保穩定幣 pUSD。攻擊者隨後將被盜資金從 Polygon 橋接到以太坊,並將其兌換成大約 1,893 ETH,將所得資金集中到一個錢包中。由於惡意程式碼存在於網站而非區塊鏈上,受影響用戶幾乎無法察覺他們所信任的介面已被篡改。Polymarket 拒絕透露受入侵供應商的名稱,也未進一步評論。 少於 15 個帳戶受影響,承諾全額退款 Bubblemaps 的鏈上調查人員認為損害大致已獲控制,受
Ethan Brooks·06-26 05:53










