预测市场物理漏洞：吹风机如何攻破Polymarket的链上合约

据法国《世界报》披露，今年四月，巴黎戴高乐机场的气象传感器在短时间内记录到两次异常升温，温度在几分钟内飙升超过3摄氏度后迅速恢复正常。调查发现，这两次异常事件发生前，都有人在去中心化预测平台Polymarket上精准押注了对应的小概率温度区间。攻击者仅用几十美元本金，最终获利约3.4万美元。其中，首次进行押注的账户在异常发生前两天才被创建。

一场低技术含量的“物理攻击”

法国气象局（Météo-France）在后续检查中，于传感器上发现了人为干预的物理痕迹，并已向警方提起刑事诉讼，指控为“干扰自动化数据处理系统”。根据法国相关法律分析，由于涉及公共机构，此类行为最高可面临7年监禁及30万欧元罚款。

Polymarket上巴黎气温市场的结算数据流路径为：**物理传感器 → 法国气象局 → Weather Underground → Polymarket智能合约**。

这条链的后端——智能合约审计、数据自动化传输及抓取——看似坚固。然而，整个系统的致命弱点恰恰在于其最前端的**数据采集点**：一个安装在机场路边、毫无物理防护的普通温度计。

攻击者实施此次操纵所需的全部“技术装备”，仅仅是一把可充电的便携吹风机。由于Polymarket依据当日最高温度进行结算，攻击者只需在特定时刻（如傍晚或夜间，当日自然高温已过）走近传感器，用热风短暂加热，即可人为制造一个新的“日最高温”记录，从而触发链上合约的有利结算。

平台应对：更换数据源而非解决根本问题

事件发生后，Polymarket并未发布任何官方声明。其采取的唯一措施是，将巴黎气温市场的结算数据源从戴高乐机场更换为勒布尔歇机场。

攻击者的获利未被追回，市场按链上记录完成了结算。然而，新的数据源——勒布尔歇机场的传感器——同样暴露在公共场所，缺乏基本防护。这意味着核心漏洞并未被修复，只是转移了位置。

这并非Polymarket首次面临争议。此前已发生多起涉及市场操纵的事件，例如： * 2024年10月，交易员被指控利用关联账户操纵美国大选预测市场，获利巨大。 * 2025年3月，巨鲸用户通过大量代币影响治理投票，强制结算争议市场。 * 2026年，多个地缘政治相关市场出现异常押注，引发监管关注。

与以往需要巨额资金或治理权的事件不同，本次攻击的成本极低，凸显了预测市场在连接链上合约与链下现实数据时存在的固有风险。

链上合约的“链下软肋”

这一事件揭示了一个颇具讽刺意味的现实：一个以区块链技术为基础、强调去中心化与防篡改的预测市场，其安全性竟被一把吹风机轻易瓦解。密码学保障了链上数据的不可篡改性，却无法验证输入数据的物理真实性。

Polymarket目前运行着上百个气象预测市场，其结算大多依赖某个特定地点的单一物理传感器。当传感器仅用于气象观测时，其可信度源于缺乏被篡改的动机。然而，一旦成为金融合约的结算依据，它就获得了全新的“经济价值”，却未获得相应的物理安全升级。

法国气象局的温度计忠实地记录了它“感受”到的温度，它并不知道自己已成为一个去中心化金融系统的关键数据终端。

市场资讯部视点

本次事件暴露了去中心化预测市场（乃至更广泛的DeFi领域）在依赖“预言机”引入链下数据时，普遍存在的“最后一公里”安全隐患。智能合约的代码可以审计，但物理世界的传感器却难以免疫于低成本攻击。这不仅是Polymarket的个案，更是整个行业在追求“信任最小化”过程中必须面对的“现实世界数据可靠性”难题。未来的解决方案可能需要结合多数据源验证、传感器网络冗余、甚至物理安全审计。平台在快速扩张市场的同时，必须将数据源的完整性与抗攻击能力纳入核心风控体系，否则，类似的“物理漏洞”可能从荒诞的个案演变为系统性的信任危机。