Polymarketは金曜日早朝に攻撃を受け、コントラクトの脆弱性を突かれて60万ドル以上の暗号資産が流出しました。 盗難の規模にもかかわらず、複数のセキュリティアナリストは、ユーザ資金や市場の結果には影響がなかったと強調しました。 ある専門家は、もし侵害されたコントラクトに追加の制御が使用されていた場合、事件ははるかに深刻なものになった可能性があると主張しました。 ## Polymarketの攻撃 オンチェーンの探偵 ZacXBT の調査によると、彼はPolygon(POL)上のPolymarketのUMA CTFアダプターコントラクトに関わる疑わしい脆弱性を指摘しました。 報告時点で、関係する総額はほぼ70万ドルに達していました。 脆弱性の仕組みの詳細は、その後、セキュリティ専門家のOx Abdulによって説明されました。 彼の説明によると、最初の重要なポイントは、USDCの金額—60万ドル超—がPolygon上の特定のウォレット、0x8F98と識別されたUMA CTFアダプター管理者から一度だけ流出したように見えたことです。 Ox Abdulはまた、Polymarketの自動化システムが攻撃の仕組みに寄与した可能性についても述べました。 彼は、Polymarketのトップアップシステムが約30秒ごとに5,000 POLを繰り返し送信し、オラクルのガスウォレットに資金を供給し続けていたと指摘しました。 攻撃者は一度だけ盗むのではなく、各リフィルを待ち、その後約70分間にわたり約120サイクルにわたってそれを一掃し、彼はこれを約60万POLと推定しました。 重要なのは、このアカウントでのPOLの継続的な損失は、Polymarketの検知と対応の迅速さに起因しているとされる点です。 最終的に、鍵のローテーション後に脆弱性は停止されました。 ## 攻撃がより悪化した可能性 リフィルを流出させた後、Ox Abdulは、攻撃者がChangeNOWを使って16のサブアドレスから退出したと述べました。 被害が限定的であったとしても、彼は盗難自体を超える潜在的なリスクの兆候が存在すると警告しました。 彼の見解では、侵害された管理者ウォレットは、USDCとPOLだけでなく、「resolveManually権限」も保持していました。 彼は、その手動解決の権限はオラクルを迂回し、攻撃者がPolymarket上の任意の市場結果を強制できる可能性があると説明しました。 Ox Abdulは、「より悪い」状況が実際にどのように見えたかを具体的に示しました。 彼は、攻撃者が特定の市場で大きなポジションを取り、その市場を手動解決に設定し、約1時間の安全期間を待ち、その後resolveManuallyを使って自分のポジションに有利な市場結果を解決できた可能性を述べました。 事件後、Polymarketの主要な開発者であるJosh Stevensは、ソーシャルメディアを通じて追加の背景情報を提供しました。 Stevensは、問題の原因は6年前の秘密鍵の侵害にあるとし、その鍵は内部のトップアップ設定に含まれていたため、資金が鍵に送られたままだったと説明しました。 彼は、その鍵はローテーションされ、すべての運用権限は取り消され、今後はすべての秘密鍵をKMS管理の鍵に移行していると付け加えました。 連邦調査の開始 技術的な事件が進行している間に、Polymarketは金曜日に規制当局の監視も受けていました。 Bitcoinistが報じたところによると、下院監視・政府改革委員会の委員長ジェームズ・コマー議員は、予測市場プラットフォームのPolymarketとKalshiに対する正式な調査を発表しました。 コマー氏は、両社のCEOからインサイダー取引を防ぐための取り組みに関する情報を求めていると述べました。 彼の書簡では、両プラットフォームが国内外のアカウント所有者の身元確認をどのように実施しているか、地理的制限をどのように強化しているか、不審な取引活動をどのように検出しているかについての資料と詳細を求めています。 別の動きとして、BloombergはPolymarketが日本に代表者を任命し、同国での予測市場の認可を働きかける準備を進めていると報じました。 報告書に引用された情報筋によると、Polymarketの目標は、2030年までに日本で政府の承認を得ることです。  特集画像はOpenArtで作成され、チャートはTradingView.comから引用されています。
Polymarketが$700K の脆弱性により攻撃される:私たちが知っていることと、専門家がそれをもっと悪化させる可能性があった理由
Polymarketは金曜日早朝に攻撃を受け、コントラクトの脆弱性を突かれて60万ドル以上の暗号資産が流出しました。
盗難の規模にもかかわらず、複数のセキュリティアナリストは、ユーザ資金や市場の結果には影響がなかったと強調しました。
ある専門家は、もし侵害されたコントラクトに追加の制御が使用されていた場合、事件ははるかに深刻なものになった可能性があると主張しました。
Polymarketの攻撃
オンチェーンの探偵 ZacXBT の調査によると、彼はPolygon(POL)上のPolymarketのUMA CTFアダプターコントラクトに関わる疑わしい脆弱性を指摘しました。
報告時点で、関係する総額はほぼ70万ドルに達していました。
脆弱性の仕組みの詳細は、その後、セキュリティ専門家のOx Abdulによって説明されました。
彼の説明によると、最初の重要なポイントは、USDCの金額—60万ドル超—がPolygon上の特定のウォレット、0x8F98と識別されたUMA CTFアダプター管理者から一度だけ流出したように見えたことです。
Ox Abdulはまた、Polymarketの自動化システムが攻撃の仕組みに寄与した可能性についても述べました。
彼は、Polymarketのトップアップシステムが約30秒ごとに5,000 POLを繰り返し送信し、オラクルのガスウォレットに資金を供給し続けていたと指摘しました。
攻撃者は一度だけ盗むのではなく、各リフィルを待ち、その後約70分間にわたり約120サイクルにわたってそれを一掃し、彼はこれを約60万POLと推定しました。
重要なのは、このアカウントでのPOLの継続的な損失は、Polymarketの検知と対応の迅速さに起因しているとされる点です。
最終的に、鍵のローテーション後に脆弱性は停止されました。
攻撃がより悪化した可能性
リフィルを流出させた後、Ox Abdulは、攻撃者がChangeNOWを使って16のサブアドレスから退出したと述べました。
被害が限定的であったとしても、彼は盗難自体を超える潜在的なリスクの兆候が存在すると警告しました。
彼の見解では、侵害された管理者ウォレットは、USDCとPOLだけでなく、「resolveManually権限」も保持していました。
彼は、その手動解決の権限はオラクルを迂回し、攻撃者がPolymarket上の任意の市場結果を強制できる可能性があると説明しました。
Ox Abdulは、「より悪い」状況が実際にどのように見えたかを具体的に示しました。
彼は、攻撃者が特定の市場で大きなポジションを取り、その市場を手動解決に設定し、約1時間の安全期間を待ち、その後resolveManuallyを使って自分のポジションに有利な市場結果を解決できた可能性を述べました。
事件後、Polymarketの主要な開発者であるJosh Stevensは、ソーシャルメディアを通じて追加の背景情報を提供しました。
Stevensは、問題の原因は6年前の秘密鍵の侵害にあるとし、その鍵は内部のトップアップ設定に含まれていたため、資金が鍵に送られたままだったと説明しました。
彼は、その鍵はローテーションされ、すべての運用権限は取り消され、今後はすべての秘密鍵をKMS管理の鍵に移行していると付け加えました。
連邦調査の開始
技術的な事件が進行している間に、Polymarketは金曜日に規制当局の監視も受けていました。
Bitcoinistが報じたところによると、下院監視・政府改革委員会の委員長ジェームズ・コマー議員は、予測市場プラットフォームのPolymarketとKalshiに対する正式な調査を発表しました。
コマー氏は、両社のCEOからインサイダー取引を防ぐための取り組みに関する情報を求めていると述べました。
彼の書簡では、両プラットフォームが国内外のアカウント所有者の身元確認をどのように実施しているか、地理的制限をどのように強化しているか、不審な取引活動をどのように検出しているかについての資料と詳細を求めています。
別の動きとして、BloombergはPolymarketが日本に代表者を任命し、同国での予測市場の認可を働きかける準備を進めていると報じました。
報告書に引用された情報筋によると、Polymarketの目標は、2030年までに日本で政府の承認を得ることです。
特集画像はOpenArtで作成され、チャートはTradingView.comから引用されています。