链上调查员 ZachXBT 标记周五与 Polymarket 相关的疑似资金流失,称已从与预测市场 Polygon 基础设施相关的地址中挪用了超过 520,000 美元。
Polymarket 开发者后来承认了这一事件,并表示这涉及内部奖励钱包,并且不会影响用户资金或市场结果。
Polymarket 开发者帐户推文表示,“调查结果表明,用于内部充值操作而非合约或核心基础设施的钱包的私钥遭到泄露”。
We’re aware of the security reports linked to rewards payout. User funds and market resolution are safe.
Findings point to a private key compromise of a wallet used for internal top-up operations, not contracts or core infrastructure.
More updates to follow.
— Polymarket Developers (@PolymarketDevs) May 22, 2026
在最初披露后一个多小时,链上分析平台 Bubblemaps 估计损失约为 700,000 美元,并表示资金被分配到 16 个地址,并通过中心化交易所和其他服务进行传输。
Polymarket 上的预测市场使用记录投注并在外部服务确认结果后向获胜者付款的合同。周五事件中涉及的钱包似乎用于奖励支付,与处理用户资金和市场结果的合约分开。
UPDATE: ~$700k exploited
• Suspected withdrawals have stopped
• Polymarket said the incident was isolated and user funds are safeThe stolen funds were split across 16 addresses and routed through CEXs and other services
Exploiter addresses:… https://t.co/gSXWv7UywX
— Bubblemaps (@bubblemaps) May 22, 2026
操作风险
香港中文大学副教授、链上安全公司 BlockSec 联合创始人 Andy Yajin Zhou 告诉 Decrypt,他们的初步审查与 Polymarket 开发者的说法一致,即该事件涉及私钥泄露,而不是平台核心系统的缺陷。
“根据我们的初步分析,这似乎并不是适配器合约逻辑或预测市场基础设施本身的缺陷,”周说。 “现阶段,我们尚未发现证据表明存在协议级漏洞、预言机操纵或基于适配器的市场基础设施中存在普遍漏洞。”
周解释道,此类事件指向操作安全风险,包括密钥管理、访问控制、签名策略、监控以及用于日常操作的钱包的其他安全措施。
区块链安全公司 Cyvers 得出了类似的结论,称该事件似乎影响了运营或管理钱包,而不是 Polymarket 的核心合约或其用于结算市场的系统,这表明特权钱包周围存在更广泛的行业风险。
“即使预测市场协议在智能合约级别是安全的,如果密钥管理或操作安全受到损害,特权适配器或管理钱包仍然是关键的攻击面,”Cyvers 高级安全运营主管 Hakan Unal 告诉 Decrypt。
加密基础设施开发商 Horizontal Systems 的战略主管 Dan Dadybayo 告诉 Decrypt,该事件符合攻击者针对加密项目的方式的更广泛的转变。
“这越来越像是密钥管理失败,而不是智能合约漏洞,”Dadybayo 说。 “加密货币领域的一个有趣的转变是,攻击者不再主要破坏协议。他们的目标是围绕协议的操作层:管理钱包、权限和基础设施。”
Decrypt 已联系 Polymarket 征求意见,如果他们回复,我们将更新本文。这是一个正在发展的故事。