旧钱包访问权限暴露，Polymarket 私钥泄露损失 60 万美元

2026 年 5 月 22 日，Polymarket 遭遇私钥泄露，导致内部运营资金损失超过 60 万美元。该事件影响了与 Polygon 网络后端基础设施相关的钱包。 Polymarket 随后证实，用户资金仍然安全，市场决议并未受到干扰。此次泄露可以追溯到旧的私钥，该私钥仍然拥有过多的操作访问权限，引发了人们对跨去中心化平台的内部密钥管理实践的质疑。链上活动首先标志着 Polygon 上 Polymarket 相关基础设施的异常资金流动。区块链调查员 ZachXBT 很早就发现该运动可能是一种利用。不久之后，PeckShieldAlert 确认两个攻击者地址已耗尽大约 520,000 美元。这些资金的一部分随后被转至交易服务 ChangeNOW。链上分析平台 Bubblemaps 跟踪攻击者每 30 秒提取大约 5,000 个 POL 代币。流失的速度推高了全天的损失预估。不同追踪器的数字从 520,000 美元增至 600,000 美元，然后接近 700,000 美元。被盗资金被分散到 16 个不同的地址，并通过中心化交易所和其他服务转移。以下是@Polymarket 事件的详细情况↓ 2026 年 5 月 22 日：首次警报资金开始从 @0xPolygon 上与 Polymarket 相关的基础设施移出。人们最初认为这可能是与 Polymarket 的市场分辨率设置相关的漏洞，但团队后来澄清了… https://t.co/SvhhXJd65O pic.twitter.com/AtPBAVdgxF — DeFi Warhol (@Defi_Warhol) 2026 年 5 月 23 日 早期出现了混乱，因为受影响的钱包与 Polymarket 的市场分辨率设置有关。许多观察家最初怀疑该平台的结果合约出了问题。事实证明，这些担忧是没有根据的，因为合同本身并不涉及其中。 Polymarket 团队成员 ShantikiranC 澄清，该问题源于用于内部奖励支付的旧私钥。密钥与核心合同或面向用户的基础设施无关。然而，它仍然具有足够的访问权限，允许攻击者消耗大量资金。漏洞发生后，Polymarket 立即开始轮换后端服务密钥。 ShantikiranC 证实，该团队还在审核其他内部机密，以检查是否有进一步泄露的情况。响应遵循私钥和后端秘密泄露的标准协议。开发人员乔什·史蒂文斯指出，受影响钱包的权限已被撤销。他补充说，该团队正在将密钥迁移到密钥管理系统（通常称为 KMS）。 KMS 为存储和处理敏感加密密钥提供了更安全的环境。该事件引发了一个更广泛的问题：过时的内部密钥如何长期保留该级别的访问权限。在去中心化平台中，操作密钥通常会随着时间的推移积累权限，而无需定期审核。这个案例表明，即使核心合约是安全的，遗留访问也可能成为一种负担。 Polymarket 事件提醒我们，内部运营安全需要与智能合约审计同等程度的关注。密钥轮换、权限范围和安全存储不是可选步骤。对于处理大量链上活动的平台来说，这些做法是基本的运营要求。