Polymarket遭供应链前端攻击损失310万美元——预测市场平台「一月双黑」的消费者保护合规困境

Aiying 艾盈一家专注加密资产合规咨询服务机构，本文为团队原创，转载需授权。

导语：Polymarket在6月25日确认遭遇一起供应链前端攻击，约310万美元用户资金被盜。这已是该平台五周内第二起安全事故——5月22日的内部钱包密钥泄露才刚刚过去一个月。对于一家正面临CFTC主动调查、六州围堵诉讼和参议院书面质询的预测市场平台而言，”一月双黑”的安全记录正在将其推向一个更危险的合规悬崖：消费者保护义务。

发生了什么

供应链攻击：第三方供应商成为最薄弱的环节

6月25日，Polymarket确认其前端代码通过一个被攻破的第三方供应商依赖被注入了恶意脚本（CryptoBriefing，2026年6月27日）。攻击者利用该脚本诱骗用户在不知情的情况下批准了资产转移——说白了就是前端供应链被投毒，用户在Polymarket官网上看到的是正常界面，但点确认的那一刻钱已经进了攻击者的钱包。

受影响用户约11至15个钱包，被盗资产主要为pUSD（Polymarket基于USDC铸造的平台稳定币）。PeckShield、SpecterAnalyst和GoPlus Security三家链上分析团队追踪到，被盗pUSD已被兑换为ETH并归集至少数地址（CryptoBriefing）。

关键细节：Polymarket的核心智能合约未被攻破。漏洞出在前端层——用户交互界面依赖的外部代码。智能合约审计通过了，但真正与用户打交道的那个”门面”里藏了一把刀。

一月双黑：安全记录的量化恶化

这不是孤立事件。不到五周前的5月22日，Polymarket在Polygon网络上的一个内部钱包被攻破，损失约52万至70万美元。当时Polymarket解释说这是一起疑似私钥泄露事件，并强调”用户资金未受影响”。

两起事件对比：

5月22日攻击：私钥泄露 → 内部钱包 → $52-70万损失 → 用户资金未受影响
6月25日攻击：供应链投毒 → 用户钱包 → $310万损失 → 用户资金直接受损

攻击向量不同，目标不同，但同一平台在五周内两次成为安全事件的受害者——第一次是内部管理问题，第二次是供应链治理问题。DeFi领域的”安全叙事”通常靠智能合约审计来兜底，但这两次攻击都没碰到合约层。

为什么重要

合规启示一：”智能合约安全”不等于”平台安全”

过去几年，DeFi行业的安全合规讨论几乎完全聚焦于智能合约审计。Formal verification、CertiK/Halborn/Trail of Bits审计报告成了项目的”安全通行证”。Polymarket的合约层确实安全——这次攻击没碰到它。

问题是：用户不跟合约打交道。用户跟前端打交道。

如果一个平台的智能合约是安全的，但它的前端可以被第三方供应商注入恶意代码，那么这个平台对于普通用户来说就是不安全的。监管机构——尤其是CFTC——在评估一个平台的”消费者保护”资质时，不会只看合约审计报告。他们会看整个技术栈的安全治理，包括供应链依赖管理、前端代码审查流程、第三方供应商准入标准。

Polymarket平台年收入据FT此前报道已接近10亿美元。这种规模的平台，前端的每一个npm包、每一个CDN依赖，都应该是安全审计的一部分。而现实是，DeFi行业的前端供应链安全几乎是一片空白地带。

合规启示二：自愿退款是消费者保护，不是合规豁免

Polymarket在事发后迅速承诺“全额退款”（CoinDesk，2026年6月27日），并已联系受影响用户。从公关角度看这是一步好棋——310万美元对于年收入近10亿的平台来说不算什么。

但从合规角度看，自愿退款解决不了根本问题。CFTC在评估一个平台的消费者保护合规水平时，关心的是”这个平台有没有机制防止用户资金被盜”，而不是”资金被盜后平台愿不愿意自掏腰包”。退款只能证明偿付能力，不能证明安全能力。

更何况，Polymarket目前正面临一揽子监管压力：

CFTC主动调查：据FT 6月27日报道，CFTC对Polymarket的调查已从”被国会要求调查”升级为”已在主动调查中”
六州联合诉讼：多个州级监管机构同时对平台发起行动
参议院两党质询：参议员Curtis(R-UT)和Schiff(D-CA)联合要求CFTC在7月10日前书面回应Polymarket的虚假营销和管辖权问题
消费者组织加入战局：NACA等消费者保护组织已开始关注平台

在这样的监管聚光灯下，”一月双黑”的安全记录不是公关危机，是合规红线。CFTC完全有理由问：你们连用户资金安全都保障不了，凭什么继续运营一个涉及数十亿美元交易量的预测市场？

合规启示三：供应链安全正在进入监管视野

2024年Solana生态中WalletConnect钓鱼攻击、2025年Ledger Connect Kit供应链被黑——这些事件已经让监管机构开始注意”前端供应链安全”这个此前被忽视的领域。SEC在2025年关于DeFi的报告中首次提到”第三方技术依赖的风险敞口”，FATF在同年更新的虚拟资产指南中也加入了”服务提供商供应链风险”的条款。

Polymarket这次攻击会让这个趋势加速。当一个监管密集关注的大型平台因为第三方供应商被攻破而让用户损失数百万美元时，监管部门不会停留在”智能合约是安全的”这个回答上。他们需要知道的是：你的供应商是谁？你的前端代码审查流程是什么？你的依赖管理策略是什么？

怎么看

供应链安全是DeFi下一个合规高地：过去行业的全部精力放在智能合约安全上，但Polymarket的两起攻击都在合约之外。监管机构对”平台安全”的定义会越来越宽，前端、API、CDN、npm包管理器——这些都会成为合规审计的一部分。
“一月双黑”让CFTC的谈判筹码大幅增加：CFTC在与Polymarket的交锋中，现在多了一件极其有力的武器——”你们连用户资金安全都保障不了”。这会影响和解条款、运营限制和未来牌照审批。310万美元的损失单看不大，但它发生在CFTC调查进行中的时间窗口——这个时间点让它从安全事故变成了合规证据。
自愿退款的行业惯例需要制度化：Polymarket选择了退款，但这是商业决策，不是合规义务。DeFi行业需要一个制度化的用户保护机制——保险基金、消费者赔偿池、或受监管的托管安排。否则每一次安全事故都是一次”平台是否会退款”的猜测游戏，这对行业信任的伤害远比单次损失更大。
预测市场的监管门槛在上升：Polymarket正在定义”预测市场”这个品类在美国的监管框架。安全事件越多、频率越高，监管在制定规则时就会越紧。Kalshi等竞争对手可能因此获得相对优势——如果你的安全记录更干净，监管机构在比较两个平台时会给你更多的操作空间。

一句话总结

Polymarket在CFTC调查进行中的”一月双黑”安全记录，正在将一个DeFi平台的安全事故升级为整个预测市场品类的合规先例——自愿退款能解决钱的问题，但解决不了”你是否有资格运营一个涉及消费者资金的受监管市场”这个根本问题。

本文基于 CryptoBriefing（2026年6月27日）和 CoinDesk（2026年6月27日）撰写。PeckShield、SpecterAnalyst、GoPlus Security 链上数据追踪作为技术事实补充。

美国