開場
Polymarket 於週五發生安全事件,當鏈上調查員 ZachXBT 標記一個疑似從與預測市場 Polygon 基礎設施相關錢包中「抽走」的資金流出時,最初報告稱有超過 52 萬美元資金下落不明。其後 Polymarket 開發者承認了此事件,表示屬於用於獎勵運作的「內部補資(internal top-up)」錢包發生私鑰遭入侵,並確認使用者資金與市場結果仍然安全。鏈上分析平台 Bubblemaps 之後估計總損失約為 70 萬美元,遭竊資金分別分散在 16 個位址,並透過集中式交易所及其他服務進行轉移。
事件細節
Polymarket 的開發團隊於 2026 年 5 月 22 日發布聲明,就安全通報作出回應:「調查結果指向用於內部補資作業的錢包私鑰遭到入侵,而非合約或核心基礎設施。」該聲明強調,使用者資金與市場解析不受此次事件影響。
Bubblemaps 的分析在最初披露後超過一小時發布,提供了更詳細的入侵評估。平台指出,約 70 萬美元資金遭到利用並分散到 16 個位址,之後遭竊資產又透過集中式交易所與其他金融服務進行路由轉移。
涉事錢包用於獎勵付款,且與處理使用者資金並判定市場結果的核心合約分開。Polymarket 上的預測市場透過合約運作:合約會記錄下注,並在外部服務確認結果後向中獎者付款。
技術評估與專家分析
BlockSec 聯合創辦人 Andy Yajin Zhou 是香港中文大學的副教授,向 Decrypt 表示,該公司的初步審查與 Polymarket 對事件的說法一致。「根據我們的初步分析,這看起來不像是適配器合約邏輯或預測市場基礎設施本身的瑕疵。」Zhou 表示。「在此階段,我們尚未找到證據顯示存在協定層級的利用、預言機操縱,或適配器式市場基礎設施中的一般性漏洞。」
Zhou 強調,此事件反映了作業層面的資安風險,包括金鑰管理、存取控制、簽署政策、監控,以及圍繞用於例行作業的錢包所採取的其他防護措施。
區塊鏈資安公司 Cyvers 得出類似結論,認為此次事件影響的是作業或管理(admin)錢包,而非 Polymarket 的核心合約或市場結算系統。Cyvers 的資深安全營運負責人 Hakan Unal 向 Decrypt 表示:「即使預測市場協定在智慧合約層級是安全的,特權的適配器或管理錢包仍可能是重要的攻擊面,只要金鑰管理或作業安全遭到破壞。」
作業安全:作為產業風險
加密基礎設施開發商 Horizontal Systems 的策略負責人 Dan Dadybayo 將此事件描述為攻擊者鎖定加密貨幣專案方式更廣泛轉變的一部分。「這越來越像是金鑰管理失敗,而不是智慧合約遭到利用。」Dadybayo 向 Decrypt 表示。「整個加密領域的有趣變化在於,攻擊者不再主要在破解協定本身。他們在鎖定協定周邊的作業層:管理錢包、權限,以及基礎設施。」
此次事件凸顯了預測市場平台中「協定層級安全」與「作業基礎設施安全」之間的差異。
