六年前被入侵的私鑰使攻擊者得以存取 Polymarket 的內部獎勵錢包,導致約 70 萬美元資金從 16 個地址被盜。這家運行於 Polygon 區塊鏈上的預測市場平台確認,此次入侵未影響用戶充幣或市場結果。
這就像有人找到了辦公用品儲藏室的一把舊備用鑰匙。他們沒有進入金庫,但卻把儲藏室洗劫一空。
排水過程如何展開
鏈上調查員 ZachXBT 和 Bubblemaps 於 5 月 22 日率先標示出可疑活動。初步估計損失約為 $520,000,但隨著研究人員追蹤被盜資金經過多個地址、交易所和混合器,該數字上升至約 $700,000。
攻擊者迅速行動,在初期階段每 30 秒轉移 5,000 枚 POL 代幣。這種有條不紊的節奏表明是自動化操作,而非有人慌亂地點擊按鈕。
被入侵的錢包是專門用於發放用戶參與獎勵的舊版管理地址。用英文說:這是一個為促銷激勵提供資金的充值錢包,而非存儲交易者抵押品或市場結算資金的金庫。
凍結資產的努力僅取得部分成果。573,000 美元中約有 164,000 美元被凍結,意味著大部分被盜資金在干預前已透過交易所和混合服務進行洗錢。
該密鑰本身已有六年歷史。以背景來看,六年的加密貨幣基礎設施相當於在 Windows XP 上運行銀行的安全系統。密鑰的年齡反映出一種常見但可避免的漏洞:組織隨著發展超越了初期的安全實踐,卻忘記退役舊的憑證。
Polymarket 的回應與保持安全的內容
Polymarket 的開發團隊幾乎立即採取措施安撫用戶,表示用戶資金、智能合約和交易系統均未受影響。平台的核心運作,包括市場創建、交易和結算,均持續進行,未中斷。
此次入侵僅限於獎勵分發錢包。未操縱任何市場結果,也未觸動任何用戶餘額。
這種區別至關重要。Polymarket 已成為加密貨幣領域最突出的預測市場之一,在政治事件和重大新聞週期中吸引了大量關注。若發生實際損害用戶資金或市場完整性的漏洞,則將是完全不同的故事,可能動搖去中心化預測市場的整個信任模式。
公司表示正在對此事件進行全面調查。該調查是否會公開披露密鑰的存儲方式、誰有權訪問,以及當時實施了哪些輪換政策(或沒有任何政策),都值得關注。
加密貨幣安全中常見的模式
這並非老化管理密鑰成為弱點的首次情況。加密貨幣行業長期存在遺留基礎設施的問題。項目在初期團隊規模較小時生成多個運營錢包的密鑰,隨後迅速擴張,卻未對這些早期憑證進行審計。
這裡的攻擊向量並非智能合約漏洞、閃電貸款利用,或複雜的去中心化金融操縱,而是一個早在數年前就應更換或停用的私鑰。最簡單的利用方式往往最具破壞性,正因沒有人會去檢查這些方式。
過去類似事件也曾影響其他項目。項目最早期的熱錢包、管理密鑰和部署地址,始終是攻擊者持續針對的攻擊面。一旦私鑰因釣魚、惡意軟體或內部人員而遭泄露,鏈上便無任何機制能阻止持有者執行交易。
多重簽名錢包、硬體安全模組和定期輪換密鑰都是標準的緩解措施。一個使用了六年、仍對已充值錢包擁有權限的單一密鑰,表明至少其中一項實踐並未應用於該特定地址。
這對投資者和用戶意味著什麼
事實上,700,000 美元的損失在加密貨幣攻擊標準中相對較小。但聲譽損失可能超過金額本身,尤其對於依賴用戶信任運作的平台而言。
預測市場本質上依賴信任。用戶以真金白銀押注結果,因此他們必須相信處理其資金並結算投注的平台運作健全。即使僅限於獎勵錢包的漏洞,也會讓人懷疑背後是否還潛藏其他舊有系統。
對於積極使用 Polymarket 的交易者而言,即時風險似乎已得到控制。用戶資金未受影響,平台的智能合約也未涉及此次攻擊。處理充幣、提現和市場結算的運營基礎設施似乎與被入侵的錢包完全分離。
更大的擔憂在於系統性風險。如果 Polymarket 這個最知名且資金最充足的預測平台之一,仍在使用一個六年前的密鑰並保持資金存取權限,那麼規模較小、資源較少的項目,其密鑰管理的規範性又如何?此事件應促使用戶對任何存放資金的平台的運營安全性提出更嚴厲的質疑,而不僅僅是關注智能合約審計報告。
競爭平台可能會在此時透過安全實踐來展現差異化。透明的密鑰輪換政策、所有運營錢包的多重簽名要求,以及定期的第三方安全審計,可能成為吸引大量交易量的平台的必備條件。在信任即產品的市場中,能夠可信地證明其運營安全最嚴密的平台將具有顯著優勢。
目前,164,000 美元的部分凍結意味著絕大多數被盜資金很可能無法追回。經過混合器和交易所的資金,在實際上已無法追蹤。無論執法部門還是鏈上法證能否將剩餘資金追蹤至可識別的當事人,仍是一個未解的問題,但每經過一次混合服務,追蹤成功的機率都會降低。