予測市場プラットフォーム Polymarket は、攻撃者が サードパーティのフロントエンドを侵害 し、11件のユーザーウォレットから資金を抜き取った結果、 310万ドルの損失を被った。
プラットフォーム自身の監査済みスマートコントラクトは、 インシデントを通じて無傷のままだった。
報道 によれば、盗まれたPUSDトークンはクロスチェーンブリッジを通じて Polygon(POL)から Ethereum(ETH)へと移された。 Polymarketは、侵害されたベンダーの名称を公表していない。
攻撃の仕組み
フロントエンドベンダーへの攻撃は、ユーザーとプラットフォームの 基盤となるコントラクトをつなぐウェブインターフェースを狙う。 資金を保持・管理するのはスマートコントラクトそのものだが、 ユーザーはサードパーティのソフトウェアプロバイダーが構築・運用する ブラウザベースのレイヤーを通じてやり取りを行う。
今回のケースでは、攻撃者はそのインターフェース層に悪意あるコードを 仕込んだとみられている。攻撃期間中にPolymarketのフロントエンドを 利用した影響ユーザーは、ウォレットの承認設定を乗っ取られた。 侵害が検知されるまでに、11件のウォレットが資金を失った。
スマートコントラクトが監査を通過していても、攻撃ベクトルが コントラクト層より上流にある場合、保護効果は限定的となる。
規制調査で高まるプレッシャー
Polymarketは、商品先物取引委員会(CFTC)が同プラットフォームの 米国ユーザーアクセスについて調査を開始して以来、 高い規制上の注目を浴びてきた。2026年にかけて継続している CFTCの調査は、Polymarketの予測市場が、米国ユーザーに提供される 未登録の商品契約に該当するかどうかを中心に行われている。
同プラットフォームは、2024年の米大統領選挙サイクル時に、 大統領選の勝敗オッズに関するメディア報道で広く引用されたことで、 一般的な注目を集めた。その可視性はユーザー成長と同時に、 規制当局からの監視も招いた。進行中のCFTC調査と 目立つセキュリティインシデントが重なったことで、 プラットフォーム運営者へのレピュテーション面の圧力は 一層高まっている。
予測市場のセキュリティは、この分野で繰り返し懸念されている。 フロントエンド攻撃は、コアプロトコルではなくサードパーティ サプライヤーの侵害に依存するため、とりわけ防止が難しい。 過去2年間で、いくつかのDeFiプラットフォームが同様の サプライチェーン型の侵害被害に遭っている。
あわせて読む: マイクロン、236%急騰でウォール街の次のAI銘柄に
今後の見通し
Polymarketは、被害を受けたユーザーに補償を行うかどうかを まだ明らかにしていない。侵害されたベンダーの身元も開示しておらず、 それが攻撃経路に対する第三者のセキュリティレビューを 制限している。
CFTCの調査が、状況にさらなる複雑さを加えている。 ハッキングに関するいかなる公的声明も、進行中の規制手続きと 交錯し得るためだ。盗まれた資金がブリッジを通じてEthereumに 動かされたことから、原理的にはトレースは可能だが、 フロントエンドベンダーへの攻撃においては、 法執行機関の関与がない限り、資金回収はまれである。