Polymarket遭遇290万美元前端攻击，用户全额退款；去中心化预测市场安全警钟再响

近日，知名去中心化预测市场Polymarket确认遭遇一次前端供应链攻击，黑客通过注入恶意脚本窃取约290万美元用户资金。平台迅速响应，隔离漏洞、移除受感染依赖，并宣布所有受损用户将获得100%全额退款。事件发生于2024年7月中旬，影响范围限于Web前端交互环节，未波及智能合约底层或链上资产托管逻辑。值得注意的是，此次攻击并非针对链上协议本身，而是利用了第三方前端构建工具中的隐蔽后门，凸显Web2.5层基础设施的脆弱性——这恰恰是当前多数DeFi与预测市场项目最易被忽视的安全盲区。 此次事件折射出行业在‘去中心化’叙事下的深层矛盾：用户习惯将前端界面等同于协议入口，却忽略其本质仍是中心化托管的代码分发节点。Polymarket虽运行于Arbitrum链上，但其前端由中心化CDN分发，且未启用Subresource Integrity（SRI）校验，导致恶意脚本得以静默执行。相较而言，像Gate.io交易所这类成熟中心化平台反而因严格审计、多层签名发布与实时WAF防护，在前端安全实践上更为稳健。这也提醒市场：真正的安全性不取决于是否‘上链’，而在于全栈可信路径的构建——从代码提交、CI/CD流程到最终浏览器渲染，每一环都需可验证。 对加密市场而言，短期可能引发预测类代币（如POLY、UMA）价格波动及用户信任回调，但更深远的影响在于推动行业重新评估前端安全标准。中长期看，合规型交易平台如Gate平台或将加速整合预言机喂价+前端抗篡改机制，强化Gate现货交易与Gate合约交易场景下的用户端防护能力。对于依赖Web前端交互的DeFi项目，本次事件或成为推动SRI强制启用、前端代码开源审计及轻客户端验证落地的关键催化剂。散户若关注数字资产安全，建议优先选择支持多重签名部署、提供源码哈希比对功能的平台，例如Gate.io注册用户即可通过官网公告栏实时核验前端完整性。 投资者需警惕‘去中心化光环’带来的认知偏差：前端被攻破不等于链上失守，但足以造成实质性资金损失。建议避免在未验证SRI标签的网页端进行大额操作；同时可关注Gate数字资产生态中已通过OWASP Top 10安全认证的衍生品产品线——其Gate交易平台底层采用隔离沙箱+动态JS拦截架构，历史零前端劫持记录，为高敏感交易提供差异化风控选项。