Polymarketのフロントエンド侵害、約300万ドルが単一のイーサリアム(ETH)ウォレットに集約

暗号資産ニュース

予測市場プラットフォームのPolymarketが木曜日、外部ベンダーの侵害を起点とするフロントエンド改ざんによって、利用者資金およそ300万ドルを失った。本誌の見立てでは、これはPolymarket自身のスマートコントラクトの欠陥ではなく、供給側(サプライチェーン)の侵害である。攻撃者はサイトに不正コードを注入し、承認(approve)の宛先を密かに書き換えることで、利用者が気づく前にウォレットを空にした。被害をいち早く指摘したのは著名なオンチェーンアナリストで、複数アカウントから最大で294万ドルが抜き取られたと推計している。基盤となるコントラクトが健全であっても、分散型アプリを支えるオフチェーンのフロントエンド依存関係が依然として脆弱な攻撃面であることを、今回の一件は改めて示した。Polymarketは攻撃経路をすでに遮断したとしている。

Polymarketは公式声明でこの侵害を認め、被害を受けたすべての顧客に全額を補償すると表明した。同社によれば、不正なフロントエンドコードは封じ込めて除去済みで、侵入の入口となったのは——公表は控えたものの——侵害されたベンダーだったという。直近の開示時点では、盗まれた総額のうちどれだけが回収可能で、どれだけを自己資金から補填するのかについての数字は示されていない。第三者の失策に対して自ら責任を引き受け、コストを負担するこの姿勢は、損失を全面的に利用者へ転嫁する一般的な非カストディ型サービスとは一線を画す。

今回の侵害はこの2カ月でPolymarketにとって2件目のセキュリティ事案であり、プロトコルの脆弱性を突いた攻撃というより、ソーシャルエンジニアリングという反復的なパターンに合致する。過去1年、攻撃者は偽サイト(クローン)で利用者を欺いて認証情報を奪い、数分でウォレットを空にする手口を繰り返してきた。今月初めには、あるトレーダーが偽のPolymarketクローンサイトでワンタイムパスワード(OTP)を入力した結果、メール連携のログイン用ウォレットを乗っ取られ、200万ドル超を即座に引き出される被害に遭った。当時、技術担当者はこの損失が本番インフラの欠陥ではなく不正ドメイン上で発生したと強調していたが、今週のベンダー侵害はその線引きを難しくしている。

資金の動きはオンチェーンデータが明確に示している。攻撃者はpUSDを保有するウォレットを空にした後、その資金をETHにスワップした。pUSDはPolymarketのドル連動型ステーブルコインで、USDCを担保とし、同プラットフォーム上のすべての取引の決済に用いられる。変換された資金は単一のイーサリアムアドレスに集約され、本稿執筆時点でもそこに留め置かれている。ブロックチェーン調査関係者は、影響を受けたアカウントは15件未満で被害は概ね封じ込められたと結論づけたが、取引の追跡が進むにつれてこの件数は増える可能性がある。盗まれた価値を一つのオンチェーンウォレットに集中させたことで、調査会社にとって追跡経路は可視化される一方、資金凍結はかえって難しくなる。

POLYのエアドロップを巡る憶測も、利用者へのフィッシング脅威を増幅させている。6月25日、Polymarketが自社のFAQを密かに改訂し、トークンを持たないとする従来の記述や、無償配布の計画はないとの言及を削除したことが観測者によって指摘された。同社のマーケティング担当幹部はすでに2025年10月のインタビューでトークン構想を示唆し、長期的に持続可能なユーティリティ資産を目指す方針を語っていた。こうした期待は、配布対象となることを狙うトレーダーに戦略の見直しを促しており、それが詐欺師に格好の隠れ蓑を与えている。アルトコインの配布が間近に見えるとき、偽の対象判定ツールや偽のクレーム(請求)ページは容易な誘い文句となる。

Polymarket関連のインフラが狙われたのは今回が初めてではない。5月にはPolygon上のUMA CTFアダプターが侵害されたが、調査関係者はこの一件をコントラクトのバグではなくデプロイヤーキーの窃取に帰している。デプロイヤーキー窃取、クローンサイトでのOTP窃取、そして今週のベンダー侵害——この3件を並べると、三者三様の入口が突かれながら、いずれも検知前に資金が抜かれるという同じ結末に至ったことがわかる。共通項はオンチェーン市場そのものの整合性ではなく、鍵管理、ベンダー審査、利用者認証といった運用面・人的レイヤーのセキュリティであり、記録された3件のいずれにおいても市場自体は破綻点になっていない。

本誌の読みでは、今回のPolymarketを巡る一連の事案は、業界が最も過小評価しているリスク——健全なコントラクトを取り巻くオフチェーンの攻撃面——を露呈させた。COINOTAGの集計市場データによれば、市場心理はすでに脆い。Fear & Greed Indexは100点中13と「極度の恐怖(Extreme Fear)」の深部に沈み、一方でビットコインドミナンスは70.2%まで上昇、暗号資産の時価総額合計は1兆7,000億ドル近辺を維持しており、資本が相対的に安全とみなされる先へ回避していることを示している。フロントエンドやベンダーの侵害が繰り返されれば、予測市場やステーブルコインの決済基盤が依存するまさにその信頼が損なわれていく。pUSDからETHへと変えられた盗難資金が追跡可能な単一アドレスに集約されたことは調査の手掛かりとはなるものの、回収のめどは依然として立っていない。