Polymarket气温黑客:吹风机玩家用物理攻击赚走3.4万美元
一名交易员疑似在巴黎戴高乐机场近旁使用便携式热源(被气象学家认为极可能是吹风机),短暂加热 Météo France 的露天温度传感器,使读数在极短时间内飙升数摄氏度,从而两次操纵 Polymarket 上“巴黎当日最高气温”预测市场,总计获利约 3.4 万美元。 报道显示,4 月 6 日和 4 月 15 日,位于戴高乐机场跑道附近的自动站出现“孤立高温尖峰”:温度在数分钟内从约 16–18°C 猛升至 22–22.5°C 随即回落,而周边气象站并无类似记录,Météo France 已就“篡改数据处理系统运行”向机场宪兵提交刑事投诉。
根据链上与交易数据梳理,这名交易员事先在 Polymarket 以极低价格大量买入市场认为几乎不可能出现的高温区间合约(如 21–22°C 档),随后在传感器附近实施物理干预,使得该档位成为官方记录的最高温,从而触发超过 1.4 万美元与 2 万美元的两次赔付。 事件曝光后,Polymarket 已将巴黎气温结算数据源从戴高乐机场站切换至巴黎勒布尔热机场,并在社区中表示不会对已结算市场进行退款,强调“操纵机场气象数据属于严重犯罪行为”。
来源:公开信息
ABAB AI 解读
这起用吹风机操纵气象传感器的事件,本质上是一场“物理世界攻击链上市场”的现实案例:攻击者没有破坏智能合约,也没有入侵预言机,而是选择在数据源与现实世界的交界处动手。预言机从来就不是纯技术问题,而是“你信谁、你信哪个传感器”的制度问题——当整个市场把巴黎最高气温的定价权交给一支孤立、几乎无人看守的机场探头时,就等于把数十万美元的结算权拱手让给了任何能接近那根探头且愿意承担法律风险的人。
从结构上看,Polymarket 的设计选择——用单一 Météo France 站点作为结算源——极大简化了市场规则,却也制造了单点故障;这在数据治理视角下,是一次典型的“方便性压倒安全性”。一旦高频天气赌盘规模扩大,这种“单点传感器作价”的模式就不可避免产生攻击面:物理干扰、内部篡改或数据延迟都能制造可套利空间。 反过来看,如果采用多站点加权、异常检测或人工复核,虽然会牺牲部分实时性与简单性,却能显著提高这类物理攻击的成本与不确定性。
这起事件也给所有“真实世界资产”和预测市场敲了警钟:当金融产品引用现实数据结算时,攻击者会优先寻找“最脆弱的数据源”,而不是最复杂的智能合约。机场气象站、体育裁判记录终端、选举计票公示接口、链下托管系统,都会在资产规模足够大时,成为比链上合约更诱人的攻击目标。 换句话说,DeFi 与链上市场正在逼迫传统基础设施(如气象系统、体育联赛、选举管理机构)承担从未面对过的对抗性安全压力。
从更长的历史视角看,这一事件是“预言机问题”进入现实政治与刑事司法语境的一个标志节点。过去,“预言机攻击”更多出现在白皮书与技术讨论中,如今变成 Météo France 报案、机场宪兵立案的刑事案件。 随着链上市场对现实世界事件的定价规模不断上升,谁有权定义“官方真相”、谁来运营和保护“真相的接口”,将不再是技术团队内部的架构问题,而会演变为传统机构、监管者与加密市场之间关于数据主权与责任边界的长期博弈。