事件概述:310 万美元 PUSD 被盗
据区块链情报公司 AMLBot 监测数据,近日去中心化预测市场 Polymarket 的用户在 Polygon 网络上遭遇严重安全事件。攻击者通过植入恶意脚本,成功盗走约 310 万美元的 PUSD 代币。受影响用户在前端操作时被迫签署了看似正常的授权交易,实际却触发了危险的 EIP-7702 委托执行,导致钱包被完全清空。
攻击手法分析:EIP-7702 与第三方脚本污染
AMLBot 指出,本次攻击的核心在于前端脚本的恶意篡改。攻击者通过攻破第三方库或直接污染 Polymarket 的前端页面,插入恶意代码。当用户进行常规交互时,脚本会诱使用户签署一组合约授权,其中利用 EIP-7702 标准允许外部账户委托执行交易。用户一旦签名,攻击者便可控制钱包内的所有资产,并将其转移至预先配置的地址。
这种攻击模式并非首次出现。2024 年初,1inch 的网页应用也曾因所使用的 Lottie Player 动画库被植入钱包窃取脚本而遭到类似攻击。两次事件都表明,前端依赖的第三方资源已成为加密生态中最脆弱的安全环节之一。
资金流向追踪:从 Polygon 到以太坊的完整路径
被盗后的资金迅速通过跨链机制转移。攻击者先将 PUSD 通过 Relay 协议转换为 USDC.e(Polgyon 上的 USDC 标准),随后桥接至以太坊主网。在以太坊上,USDC.e 被进一步兑换为 ETH,最终全部集中至三个新创建的钱包地址中。截至当前,这些钱包共持有约 1891.9 枚 ETH,以当前市价计算价值接近 310 万美元的初始损失规模。AMLBot 正在持续追踪这些地址的后续动向。
行业影响与防范建议
此次事件再次为 DeFi 社区敲响警钟:前端安全性不容忽视。对于交易所、预测市场等需要用户频繁签名的 dApp,任何第三方脚本的篡改都可能导致灾难性后果。开发团队应实施严格的子资源完整性(SRI)检查、自托管关键脚本、以及引入实时前端监控工具。用户层面,应谨慎对待任何要求授权签名的弹窗,尤其是在非标准合约交互中。建议使用硬件钱包对高价值资产进行隔离,并在签名前仔细核对交易详情。
业内专家呼吁,前端安全审计应与智能合约审计同等重要。随着 EIP-7702 等新标准的普及,委托执行功能虽提供了灵活性,但也为攻击者打开了新的攻击面。Polymarket 团队尚未就此次攻击发布正式声明,但预计将加快前端安全加固措施。投资者和参与者需保持警惕,避免在未经确认的情况下签署任何交易。

