事件概述:310 万美元 PUSD 被盗
据区块链情报公司 AMLBot 监测,Polymarket 平台上多名用户在 Polygon 网络遭遇前端恶意脚本攻击,损失总额约 310 万美元的 PUSD。攻击者事先在平台前端植入恶意脚本,当用户交互时,脚本诱导其签署看似正常的授权交易,实则触发 EIP-7702 委托执行机制,导致钱包内所有资产被一次性清空。
技术细节:恶意脚本与 EIP-7702 委托执行
本次攻击的关键在于攻击者利用 EIP-7702(账户抽象提案)引入的委托执行功能。恶意脚本伪装成合法授权请求,用户一旦签名,即赋予攻击者控制钱包的权限,从而直接转走 PUSD。这种手法比传统钓鱼签名更隐蔽,因为用户看到的 Gas 预估和签名内容与常规交互十分相似。漏洞根源并非智能合约本身,而是前端依赖的第三方脚本遭到篡改。
资金流向:跨链兑换与转移
被盗的 PUSD 首先通过 Relay 协议被兑换为 USDC.e,随后经由跨链桥转移至以太坊主网。在以太坊上,所有 USDC.e 被进一步兑换为 ETH,合计约 1891.9 枚 ETH,并集中至三个新创建的钱包地址。AMLBot 表示,目前这些 ETH 尚未出现进一步移动,可能正在等待时机进行混币或变现操作。
历史对比:与 1inch 前端攻击如出一辙
AMLBot 指出,本次攻击模式与 2024 年初 1inch 网页应用遭受的攻击高度相似。当时攻击者通过攻破 Lottie Player(一个常用的动画库)的更新渠道,将恶意钱包窃取脚本植入 1inch 的前端。两次事件均表明,中心化的第三方脚本可能是 DeFi 前端安全中最薄弱的环节,一旦被攻破,用户资产将面临直接风险。
安全建议与行业影响
此次事件再次敲响前端安全的警钟。对于 Polymarket 等依赖复杂前端交互的 dApp,应严格审查第三方脚本来源,实施内容安全策略(CSP)并加强签名信息的即时验证。用户方面,建议在签署交易前仔细核对签名内容,尤其对涉及“委托”、“授权”关键字的签名保持警惕,有条件的可使用硬件钱包进行离线验证。

