作者:0x2333,律动
一台吹风机,一个无人看守的气象传感器,两次精心计算的操作。
2026 年 4 月 6 日和 4 月 15 日,位于巴黎戴高乐机场的法国气象局气象探头被人用便携式加热设备加热,温度读数在短时间内异常飙升。戴高乐机场的真实气温并未出现过这样的波动,但 Polymarket 上押注「巴黎每日最高温度」的预测市场照常结算。两次作案,共 34000 美元奖金从平台转入一个在事发前两天才刚刚开户的匿名账户。
这不是一次典型的加密攻击。它没有利用任何智能合约漏洞,也没有针对任何去中心化治理流程。攻击的全部工具, 只是一台吹风机。
温度 12 分钟暴涨 4°C,一根探头如何骗过全球预测市场?
4 月 6 日傍晚 6:30 到 6:42 之间,戴高乐机场气象站的温度读数在 12 分钟内攀升了 4°C,最高触及 22.5°C,随后又在 5 分钟内迅速回落。当天巴黎的真实气温并未出现过这样的剧烈波动,附近的其他气象站也没有记录到任何类似的异常。
该气象站(代码:LFPG)位于戴高乐机场跑道边缘,靠近公路旁的公共区域。其物理位置的相对开放性,为嫌疑人接近传感器并进行物理干预提供了可能。
这段短暂的「高温」恰好命中了 Polymarket 上的「21°C」选项,一个此前几乎无人问津的结果,在异常数据被平台采信为当日最高温度之后结算为 Yes。背后某个账户拿走了约 14000 美元。
9 天后,4 月 15 日晚 9:30 前后,几乎完全相同的剧本再次上演,一个多云、无风的夜晚,戴高乐机场的温度读数诡异地攀升至 22°C。Polymarket 上「22°C」选项的概率在短短 30 分钟内从 0.1% 飙升至 95%。第二笔奖金超过 20000 美元,仍旧流入了同一个账户。
法国 E-Meteo Service 创始人、气象学家 Paul Marquis 给出了一条技术上几乎无法反驳的判断:「当时风向和相对湿度没有任何变化,周围的其他气象站也没有记录到任何异常。物理干预是最合理的解释,比如将加热设备放置在传感器探头附近。」
法国国家气象局(Météo-France)随后对传感器进行物理检查,发现被篡改的痕迹,并正式向鲁瓦西航空运输宪兵队提起刑事诉讼。指控罪名是「破坏自动化数据处理系统运行」。根据法国法律,这一罪名最高可判处 7 年监禁和 30 万欧元罚款。
涉案账户的画像同样经不起推敲。它在 2026 年 4 月 4 日才刚刚创建,距第一次作案仅 48 小时。初始资金只有几十美元,通过加密货币交易所转入。它几乎只参与了「巴黎天气」这一类市场,且专门买入极低概率的「高温」选项。两次得手之后,资金迅速通过混币器和去中心化交易所转移,链上追踪难度陡增。
一边是一台普遍家用、零售价不到 30 欧元的吹风机,一边是一个日交易额已突破 200 万美元的全球气候预测市场,攻击成本与攻击收益之间的极端不对等。
异常数据最早由法国本地气象爱好者在 Infoclimat 论坛上发现。事件随后经加密社区传播至英文世界,法国《世界报》《费加罗报》以及 BFMTV 相继跟进报道。Polymarket 官方未就此事发表任何公开声明,也没有撤销已经支付的 34000 美元奖金。
规则漏洞,一根传感器读数凭什么定夺六位数奖金?
这起事件真正的主角,与其说是那台吹风机,不如说是 Polymarket 天气市场的那套结算规则。
Polymarket 的天气类市场近年增长迅猛,目前活跃市场数量已达 173 个,覆盖温度、降水、飓风、龙卷风、地震、火山乃至大流行病。其中,「巴黎每日最高温度」市场采用的结算机制极为简单,数据源锁定在 Wunderground 网站托管的某一具体气象站读数。
在本次事件发生前,这个站点是戴高乐机场气象站(代码 LFPG),温度精确到整数摄氏度。最关键的是,市场在数据最终确定后立即结算,且「不考虑任何后续的数据修订」。
这最后一条意味着,即使法国气象局事后发现数据异常并对历史记录进行修正,Polymarket 仍然会按照被污染的原始读数继续支付奖金。规则写得清清楚楚,执行得也毫不含糊。
漏洞由此清晰呈现为三点:
其一是单点故障。整个六位数奖金池的结算,完全依赖于一根传感器的读数。Polymarket 并未设计多站加权、冗余比对或异常值熔断的机制,所谓「数据源」就是戴高乐机场跑道边的那一根金属探头。
其二是物理可达性。戴高乐机场气象站靠近跑道边缘,紧邻公路旁的公共区域,任何一个普通人都可以走到探头几米范围内。这个地理细节,让「物理干预」的门槛从理论可能变成几乎零成本的现实操作。
其三是结算机制的刚性。事后修订无效,意味着攻击一旦完成,就不存在「撤销」的可能。规则一方面保证了结算的确定性,另一方面也保证了操纵一旦得手就无法逆转。
Fibo Crypto 分析师 Victor 给这类手法起了一个颇具技术美感的名字,「物理预言机攻击」。与过往那些针对 UMA 治理投票、靠大规模代币投票来操纵预言机结果的「数字预言机攻击」不同,物理预言机攻击绕开了整条链上逻辑,直接作用于数据管道的第一公里——现实世界里那根金属探头。
4 月 17 日,事件暴露两天之后,Polymarket 悄悄完成了一项规则变更,将巴黎天气市场的结算数据源从戴高乐机场(LFPG)切换至巴黎-勒布尔热机场(LFPB)。切换没有伴随任何官方公告,没有公开的技术说明,也没有对已经发生的两笔操纵给出任何回应。
换一根探头,比公开承认漏洞要省事得多。Polymarket 天气市场最初被设计成一面镜子,映照市场对未来的集体判断。但当镜子里的影像足够值钱、赔率足够陡峭、探头又足够容易被接触到,就总会有人带着一台 30 欧元的吹风机走过去,把自己想要的那个结果吹进去。
