Polymarket 確認內部錢包遭入侵 最高失竊 70 萬美元　用戶資金不受影響

Polymarket 周五披露，一個用於獎勵派發的內部「充值（top-up）」錢包私鑰遭竊，導致資金被抽走，損失最高約 70 萬美元；公司強調用戶資金及市場結果結算未受影響。 事件源於 5 月 22 日，鏈上調查員 ZachXBT 指出 Polymarket 在 Polygon 基礎設施相關地址疑似遭「抽乾」，初步估算與該預測市場相關地址被轉走逾 52 萬美元。其後 Polymarket 開發團隊在社交平台發文確認，指涉事為用作內部獎勵充值的錢包，並非合約或核心基建層面的問題，重申用戶資金及市場結算安全。 首輪披露約一小時後，鏈上分析平台 Bubblemaps 將損失上調至約 70 萬美元，稱被盜資金被拆分至 16 個地址，並經由中心化交易所及其他服務轉移；平台亦指出疑似提走資金的操作其後已停止。 多名獨立審閱者及安全機構的研判一致，認為事件更像是營運層面的安全失誤，而非協議被攻破。香港中文大學副教授、鏈上安全公司 BlockSec 聯合創辦人 Andy Yajin Zhou 向 Decrypt 表示，現有證據指向管理員錢包私鑰外洩，並非 adapter 合約邏輯漏洞或預測市場基建缺陷。區塊鏈安全公司 Cyvers 亦認為受影響的是管理／營運錢包，而非核心結算合約，並指出特權錢包與密鑰管理一直是行業風險。基建公司 Horizontal Systems 策略主管 Dan Dadybayo 則稱，攻擊者正日益轉向針對營運層（管理錢包、權限、簽署流程），而非直接攻擊智能合約。 Polymarket 的核心合約負責記錄投注與市場結算，並依賴外部服務確認結果。由於被入侵錢包僅用於獎勵派發，Polymarket 指市場結算與用戶結餘不受影響。事件亦反映行業普遍面對的營運安全挑戰：即使智能合約本身穩健，若密鑰管理薄弱、存取控制鬆散或特權錢包監控不足，仍可能造成損失。 Polymarket 與鏈上分析人士仍在追蹤資金流向。Decrypt 表示已聯絡 Polymarket 以取得進一步回應。事件仍在發展中，將按最新消息更新。