Polymarket 用户遭遇前端脚本攻击,310 万美元 PUSD 被盗
区块链情报公司 AMLBot 监测数据显示,近日 Polymarket 用户在 Polygon 网络上因前端遭恶意脚本入侵,被盗走约 310 万美元的 PUSD(Polygon 生态稳定币)。攻击者通过植入恶意脚本,诱导用户签署授权交易(涉及 EIP-7702 委托执行),导致用户钱包被清空。
Polymarket 作为最大的去中心化预测市场平台之一,拥有大量活跃用户。此次攻击直接影响了 Polygon 链上相关地址的资产安全,引发社区对前端安全性的高度关注。
攻击手法详解:第三方脚本污染与 EIP-7702 滥用
此次攻击的核心在于前端依赖的第三方脚本被攻破。攻击者将恶意代码注入 Polymarket 的前端页面,当用户进行正常操作时,恶意脚本会弹出看似合法的授权弹窗,实际是利用 EIP-7702 标准的委托执行功能,将用户钱包的控制权临时转移给攻击者控制的合约地址。EIP-7702 允许外部账户(EOA)通过签名获得合约行为,这一原本用于提升用户体验的机制被攻击者利用,使用户在不知情下授权了资产转移。
AMLBot 指出,这一攻击手法与 2024 年 1inch 网页应用因 Lottie Player 库被植入钱包窃取脚本的情况高度相似。两次事件均为第三方脚本被攻破导致前端被污染,表明 DeFi 项目的前端供应链已成为黑客重点攻击目标。
资金流向追踪:跨链桥接与归集
被盗的 PUSD 首先通过 Relay 协议转换为 USDC.e(以太坊原生 USDC 的 Polygon 封装版本),随后通过跨链桥转移至以太坊主网,最终兑换为以太坊(ETH)并集中至三个新钱包地址。截至 AMLBot 监测时,约 1891.9 枚 ETH 均匀分布在三个钱包中,尚未进一步转移。这些地址目前处于休眠状态,但攻击者随时可能通过混币服务或交易所进行洗钱。
此次事件再次为 DeFi 用户和项目方敲响警钟:用户在使用去中心化前端时,务必仔细核对交易签名的具体内容,避免盲目授权;项目方则应建立第三方依赖的持续审计机制,并对前端脚本进行完整性校验(如 Subresource Integrity),以降低供应链攻击风险。AMLBot 表示将持续监控相关地址,并及时向社区通报后续动向。

