一台吹风机,竟从Polymarket“吹”走3.4万美元
一名攻击者通过物理手段操纵法国戴高乐机场气象站的温度传感器,从预测市场平台Polymarket非法获利3.4万美元。该攻击者分别于2026年4月6日和15日,使用便携加热设备(如吹风机)在机场公共区域对气象探头进行短暂加热,导致温度读数异常飙升,分别触发22.5°C和22°C的极端高温”选项。这些数据被Polymarket采信为当日最高温度并进行结算,奖金转入一个作案前48小时创建的匿名账户,随后资金被转移。
Polymarket的结算规则存在明显漏洞:仅依赖单一传感器数据、不考虑事后修订、且传感器位于公共可访问区域。攻击成本极低(仅需约30欧元的设备),却获得高额收益。事件暴露后,平台未公开回应或追回资金,仅悄悄将数据源更换至另一机场气象站。分析师将此类手法称为“物理预言机攻击”,直接针对现实世界数据采集环节,而非智能合约漏洞。
marsbit04/23 08:28
