Polymarketは金曜日の早い時間に攻撃を受け、コントラクトの脆弱性を悪用した攻撃により60万ドル以上の暗号資産が流出した。被害額の大きさにもかかわらず、複数のセキュリティアナリストPolymarketは金曜日の早い時間に攻撃を受け、コントラクトの脆弱性を悪用した攻撃により60万ドル以上の暗号資産が流出した。被害額の大きさにもかかわらず、複数のセキュリティアナリスト

Polymarketが70万ドルのエクスプロイト被害：判明していること、そして専門家が「より深刻になる可能性があった」と指摘する理由

出典：Bitcoinist

2026/05/23 06:25

9 分で読めます

本コンテンツに関するご意見・ご感想は、crypto.news@mexc.comまでご連絡ください。

Polymarketは金曜日の早い時間、コントラクトのエクスプロイトにより60万ドル以上の暗号資産が流出する攻撃を受けました。盗難の規模にもかかわらず、複数のセキュリティーアナリストは、ユーザー資金およびマーケットの結果には影響がなかったと強調しています。

あるエキスパートは、侵害されたコントラクト内の追加的な制御機能が使用されていた場合、このインシデントはさらに深刻な事態になっていた可能性があると指摘しました。

Polymarketへの攻撃

オンチェーン調査員ZacXBTの調査結果によると、彼はPolygon（POL）上のPolymarketのUMA CTF Adapterコントラクトに関わる疑わしいエクスプロイトを指摘しました。報道時点では、エクスプロイトに関連する総額は70万ドル近くに達していました。

エクスプロイトの仕組みの詳細は、後にセキュリティーエキスパートのOx Abdulによって説明されました。彼の説明によると、最初の重要なポイントは、60万ドル超のUSDC金額が、Polygon上の特定のウォレット（0x8F98、UMA CTF Adapter Adminとして識別）から一度に引き出されたものであると見られるという点でした。

Ox Abdulはまた、Polymarketの自動化システムがエクスプロイトの仕組みに寄与した可能性についても説明しました。彼によると、Polymarketの入金システムは、オラクルのガスウォレットに資金を供給し続けるため、約30秒ごとに5,000 POLを繰り返し送信していたとのことです。

攻撃者は一度だけ盗むのではなく、補充のたびに待機してから資金を奪うという行為を約70分間にわたって約120サイクル繰り返し、およそ600,000 POLを取得したと彼は推定しています。

重要なのは、このアカウントにおけるPOLの継続的な損失は、Polymarketの検知と対応がいかに迅速に行われたかによるものであるという点です。エクスプロイトは最終的に、キーがローテーションされた後に止まりました。

エクスプロイトがさらに深刻になり得た理由

補充分を引き出した後、Ox Abdulによると、攻撃者はChangeNOWを使用して16のサブアドレスを経由して出金しました。被害が限定的だったにもかかわらず、彼は盗難そのものを超えた潜在的なリスクが状況に存在していたと警告しました。

彼の見解では、侵害された管理者ウォレットはUSDCとPOLを保有していただけでなく、UMA Adapterの「resolveManually権限」も持っていました。彼が説明したところによると、これらの手動解決権限はオラクルをバイパスし、攻撃者がPolymarket上の任意のマーケット結果を強制的に決定することを可能にする可能性がありました。

Ox Abdulは「さらに深刻な事態」が実際にどのような形になり得たかを具体的に示しました。彼によると、攻撃者は特定のマーケットで大きなポジションを取り、そのマーケットを手動解決のためにフラグを立て、約1時間の安全ウィンドウを待ってから、resolveManuallyを使用して自分のポジションに有利な形でマーケットを解決することができたとのことです。

インシデント後、Polymarketの主要開発者であるJosh Stevensがソーシャルメディアを通じて追加の背景情報を提供しました。Stevensは、問題の原因を6年前に作成されて侵害された秘密鍵であるとし、それが内部の入金設定に含まれていたため、鍵がアクティブな状態のまま資金が送り続けられていたと説明しました。

彼はまた、鍵はローテーション済みであり、すべての本番環境の権限が取り消され、会社は今後すべての秘密鍵をKMS管理キーへ移行していると付け加えました。

連邦調査の開始

技術的インシデントが進展する中、Polymarketは金曜日に規制上の審査にも対応していました。Bitcoinistが報じたように、下院監視・政府改革委員会の委員長であるジェームズ・コーマー下院議員が、予測市場プラットフォームのPolymarketとKalshiに対する正式な調査を発表しました。

コーマー議員は、委員会が両社のCEOに対し、各プラットフォームにおけるインサイダー取引防止への取り組みに関する情報を求めていると述べました。

彼の書簡では、両プラットフォームが国内外のアカウント保有者に対してどのように本人確認を実施し、地理的制限を適用し、グローバルプラットフォーム全体でインサイダー取引を防ぐための異常な取引活動を検知しているかについての文書と詳細を要求しました。

別の展開として、Bloombergは、Polymarketが日本での予測市場の認可を求めるロビー活動の準備を進める中、日本に代表者を任命したと報じました。報告書が引用した情報源によると、Polymarketの目標は2030年までに日本政府の承認を得ることです。

アイキャッチ画像はOpenArtで作成、チャートはTradingView.com提供

SPACEX (PRE) Launchpadが開始

$100から始めて6,000 SPACEX (PRE) を山分け

免責事項：このサイトに転載されている記事は、公開プラットフォームから引用されており、情報提供のみを目的としています。MEXCの見解を必ずしも反映するものではありません。すべての権利は原著者に帰属します。コンテンツが第三者の権利を侵害していると思われる場合は、削除を依頼するために crypto.news@mexc.com までご連絡ください。MEXCは、コンテンツの正確性、完全性、適時性について一切保証せず、提供された情報に基づいて行われたいかなる行動についても責任を負いません。本コンテンツは、財務、法律、その他の専門的なアドバイスを構成するものではなく、MEXCによる推奨または支持と見なされるべきではありません。