根据 Polymarket 和 Bubblemaps 的链上调查人员,一个受损的第三方供应商允许攻击者在周四(6 月 25 日)向 Polymarket 的前端注入恶意代码,盗取了约 300 万美元的用户资金。攻击者通过被攻破供应商提供的恶意脚本访问用户钱包,并盗取了平台的 USDC 支持的稳定币 pUSD。
被盗资金随后从 Polygon 桥接至以太坊,并转换为约 1,893 ETH,不到 15 个用户账户受到影响。Polymarket 确认已控制住漏洞,移除了受影响的依赖,并承诺全额退还受影响的客户。该公司拒绝透露受损供应商的名称。
