事件概述
据区块链情报公司 AMLBot 监测数据,近日去中心化预测市场平台 Polymarket 的多名用户在 Polygon 网络上遭遇恶意脚本攻击,总计被盗走约 310 万美元的 PUSD 稳定币。攻击者通过对平台前端植入恶意脚本,诱导用户签署授权交易,从而清空用户钱包。目前,被盗资金已基本完成转移和兑换。
攻击手法与技术细节
此次攻击的核心在于利用前端脚本篡改用户交互过程。攻击者在 Polymarket 的前端代码中注入了恶意脚本,当用户在 Polygon 网络上进行交易时,脚本会弹出伪造的授权请求,诱导用户签署 EIP-7702 委托执行交易。EIP-7702 是一种允许外部账户(EOA)作为智能合约执行代码的提案,攻击者正是利用这一机制绕过传统钱包的安全验证,直接转移用户资产。用户一旦签署该授权交易,其钱包中的 PUSD 余额便被自动转出。
资金流向追踪
AMLBot 提供的链上数据显示,被盗资金首先通过 Relay 跨链协议将 PUSD 转换为 USDC.e,随后通过 Polygon Bridge 桥接至以太坊主网。在以太坊上,攻击者将 USDC.e 兑换为 ETH,最终约 1891.9 枚 ETH 被集中转移至三个新创建的地址。目前这些地址仍持有这些资金,未进一步移动。AMLBot 正持续监控相关地址的后续动向。
历史同类攻击对比
AMLBot 指出,此次攻击手法与 2024 年初发生在 1inch 网页应用上的安全事件高度相似。2024 年 1 月,1inch 的前端因集成了第三方 Lottie Player 动画库,该库被黑客植入恶意代码,导致用户在与 1inch 交互时钱包被窃取。两次攻击均源自第三方脚本被攻破,进而污染了前端页面,用户无法从 UI 层面直接发现异常。这警示项目方应加强对第三方依赖的安全审计,并考虑采用内容安全策略(CSP)等防御手段。

