Polymarket遭遇290万美元前端劫持攻击，用户资金全额赔付——去中心化预测市场安全警钟再响

近日，知名去中心化预测市场Polymarket确认遭遇一次前端供应链攻击，黑客通过注入恶意脚本窃取约290万美元用户资产。事件发生于UTC时间4月12日凌晨，平台在数小时内完成漏洞定位、依赖移除与链上资金冻结，并宣布所有受损用户将获100%全额退款。值得注意的是，此次攻击未涉及智能合约漏洞或私钥泄露，而是利用第三方前端库的供应链污染实施中间人劫持，凸显Web3应用在‘去中心化’表象下仍高度依赖中心化基础设施的风险盲区。 此次事件本质是一次典型的前端供应链攻击（Frontend Supply Chain Attack），而非传统意义上的链上黑客行为。Polymarket虽运行于Arbitrum链上，但其网页端依赖未经充分审计的第三方JavaScript包，攻击者借此篡改交易签名逻辑，诱导用户在不知情下授权恶意转账。这暴露出当前多数DeFi及预测平台在用户体验与安全平衡上的普遍妥协：为追求加载速度与交互流畅，过度采用CDN托管、动态加载等中心化方案，反而成为单点故障入口。相比之下，Gate.io交易所等成熟中心化平台虽同样面临前端防护压力，但凭借多年安全运营经验、多层JS完整性校验（SRI）、灰度发布机制及实时行为监控体系，在类似攻击场景中具备更强的响应韧性。 对加密市场而言，短期将加剧投资者对‘伪去中心化’项目的信任折价，尤其影响中小预测类协议的代币价格与流动性；中长期则可能推动行业形成新的安全合规共识——例如强制前端代码开源审计、引入WebAssembly沙箱隔离、或要求关键操作必须经由硬件钱包二次签名。对于习惯使用Gate现货交易与Gate合约交易的用户而言，该事件反向验证了选择经过严格风控验证的Gate交易平台的重要性：其支持的多重签名提现、API密钥权限分级、以及Gate数字资产冷热钱包分离架构，显著降低了同类前端风险传导概率。新用户若考虑入场，建议优先完成Gate.io注册并启用2FA+设备绑定，而非盲目追求‘原生Web3体验’。 投资者需警惕‘安全幻觉’：前端被劫持不等于链上不安全，但会极大削弱用户自主控制权。建议避免在非HTTPS/无证书锁定的页面签署任何交易；对声称‘无需私钥’的嵌入式钱包保持审慎；同时可关注Gate平台近期推出的‘交易签名预览’功能——该功能在用户确认前强制展示真实目标地址与金额，有效拦截此类伪装转账。