一臺吹風機，騙走了 Polymarket 上的 34000 美元

事件經過：物理攻擊預測市場

2026 年 4 月 6 日與 4 月 15 日，位於巴黎戴高樂機場（CDG）的法國氣象站感測器遭人用便攜式加熱設備（吹風機）加熱，導致溫度讀數在短時間內異常飆升。儘管巴黎當天的實際氣溫並未出現此類劇烈波動，但 Polymarket 平臺上押注「巴黎每日最高溫度」的預測市場照常結算。

兩次作案共使約 34,000 美元獎金從平臺轉入一個在作案前兩天才剛開戶的匿名帳戶。法國國家氣象局（Météo-France）隨後檢查發現感測器有被篡改痕跡，並向憲兵隊提起訴訟，指控罪名為「破壞自動化數據處理系統運行」。

這起事件被稱為「物理預言機攻擊」。與針對智能合約漏洞的數位攻擊不同，攻擊者繞過區塊鏈邏輯，直接操作現實世界中的數據源。戴高樂機場氣象站位置靠近跑道邊緣且靠近公共區域，使得物理介入的門檻極低。

4 月 6 日，溫度在 12 分鐘內攀升 4°C，命中了「21°C」選項，該帳戶獲約 14,000 美元。9 天後，4 月 15 日再次發生類似情況，溫度飆升至 22°C，「22°C」選項概率急升，該帳戶再獲超過 20,000 美元。

Polymarket 的巴黎天氣市場存在三大漏洞：單點故障（依賴單一感測器）、物理可達性（感測器易被接近）以及結算機制剛性（事後修訂無效）。由於規則規定數據確定後立即結算且不考慮後續修正，攻擊一旦得手便無法逆轉。

事件曝光後，Polymarket 悄悄將該市場的數據源從戴高樂機場切換至巴黎 – 勒布爾熱機場（LFPB），但未對已支付的獎金進行撤銷。涉案帳戶僅花費幾十美元初始資金，透過混幣器迅速轉移資產，顯示出極高的成本效益比。