新聞 
幣種資訊 
關於我們 
區塊鏈預測市場平台「폴리마켓(Polymarket)」近期遭遇「UMA CTF 어댑터」相關「智慧合約」漏洞攻擊,約 60 萬美元資產遭到「駭客」盜取,引發「去中心化金融(DeFi)」社群高度關注。此次事件核心問題,被指向一段負責整合「UMA 項目」預言機功能的客製化「整合層」程式碼,而非基礎協議本身。
根據鏈上分析師 ZachXBT 於 24 日(當地時間)在社群公開的資訊,攻擊者鎖定部署在「波利岡(Polygon) 網路」上的「UMA CTF 어댑터」合約進行利用,涉及地址為「0x8F98075db5d6C620e8D420A8c516E2F2059d9B91」。他透過 Telegram 發出緊急警示後,鏈上數據分析公司「Bubblemaps」隨即建議用戶暫停使用「폴리마켓」,以防止進一步損失。
所謂「UMA CTF 어댑터」,是 폴리마켓 為了結算預測市場結果,自行撰寫、用來串接「UMA 樂觀預言機(Optimistic Oracle)」的「客製化智慧合約」。與 UMA 官方協議不同,這段程式屬於額外的「整合層」程式碼,包含 폴리마켓 自身的權限與邏輯設計,且並非 UMA 官方審計範圍。換言之,這次出問題的不是「底層協議」,而是兩個協議之間的「銜接點」,顯示「整合層」長期存在安全死角。
此類風險,其實在「DeFi 生態」中屢見不鮮。폴리마켓 過去曾於 2021〜2022 年接受「ChainSecurity」對核心交易合約進行安全審計,但本次涉事的「UMA CTF 어댑터」並未納入既有審計清單中,成為「審計盲區」。評論:這凸顯許多專案即使宣稱「已通過審計」,仍可能因後續新增的「外掛模組」或「橋接合約」缺乏同等檢驗,而暴露新的攻擊面。
事實上,폴리마켓 過去也曾因「預言機」相關問題備受質疑。先前「巴黎事件」中,外部數據源出錯導致市場結算爭議,顯示對於高度依賴外部資訊的「預測市場」,「預言機」與「適配器」設計本身,就可能成為整個系統的「脆弱環節」。評論:本次「UMA CTF 어댑터」被攻擊,與早前的數據錯誤事件,構成了「技術漏洞」與「數據品質」兩種層次的預言機風險。
從鏈上數據觀察,攻擊者以約 30 秒為間隔,多次從相關合約中提取 5,000 顆「波利岡(MATIC)」代幣,顯示極可能透過自動化腳本重複觸發漏洞。估算損失約落在 52 萬至 60 萬美元區間。隨後,遭盜資金被拆分轉移至至少 15 個不同錢包地址,這種「多地址分散」方式,被視為常見的「初步洗錢」手法,有助於降低單一路徑追蹤的效率。
截至目前,相關資金尚未被發現透過「混幣服務」或「跨鏈橋」進一步轉移至其他公鏈,但由於已經被切割到多個地址,實際追回可能性仍被評估為有限。不過,攻擊者最初使用的「源頭錢包」已經曝光,後續若有資金流入「中心化交易所」,「交易所」是否配合凍結資產並提供身分線索,將成為資金追討的關鍵變數。
這起 폴리마켓 事件,再次提醒市場:隨著「DeFi 協議」之間越來越高度模組化、互相串接,真正薄弱的,往往不是「主協議」本身,而是承擔資料交換與權限調用功能的「整合層」。評論:未來專案在強調「已審計」時,恐怕必須將所有「橋接合約」、「適配器」與「外部模組」也納入同樣標準的安全檢測,否則只要有一處「連接口」出現錯誤,整體「資產安全」仍可能遭受嚴重威脅。對整個 DeFi 產業而言,這起攻擊案很可能成為推動「整合層安全審計」標準化的又一警鐘。
留言 0