Polymarket bị tấn công, 11 ví bị cướp 3,1 triệu USD, trong nửa năm lần thứ hai bị tấn công chuỗi cung ứng.

Polymarket Sự cố tấn công chuỗi cung ứng đã nâng tổn thất lên khoảng 3,1 triệu đô la Mỹ, tổng cộng 11 ví người dùng bị cướp sạch; mặc dù nền tảng đã hứa hoàn trả đầy đủ vài ngày trước, đến sáng thứ Bảy vẫn chưa có phản hồi công khai.
(Tin tức trước đó: "New York Times" tiết lộ Meta đang phát triển ứng dụng thị trường dự đoán "Arena", Zuckerberg ghen tị với Polymarket?)
(Bổ sung bối cảnh: DeFi lại báo động an ninh! Token of Power bị hack 1,58 triệu đô la, tiền bẩn đều chảy vào Tornado Cash)

Thị trường dự đoán phi tập trung Polymarket tuần này bất ngờ gặp phải tấn công chuỗi cung ứng. Theo cập nhật của công ty tình báo blockchain AMLBot trên X vào thứ Bảy: Có tổng cộng 11 ví người dùng bị cướp sạch, tổn thất lên tới khoảng 3,1 triệu đô la Mỹ, vốn được định giá bằng token gốc của nền tảng PUSD, sau khi bị đánh cắp ngay lập tức được cầu nối qua Polygon đến mạng chính Ethereum.

Polymarket Under Attack

Polymarket users were drained of ~$3.1M in PUSD on Polygon via phishing / malicious EIP-7702 delegated execution.

Funds were converted to USDC.e via Relay, bridged to Ethereum, swapped to ETH, and consolidated at… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) June 27, 2026

Tấn công chuỗi cung ứng: Mã độc từ front-end

Sự việc xảy ra vào thứ Năm. Polymarket hôm đó tuyên bố chính thức trên X: "Sáng nay phát hiện một nhà cung cấp bên thứ ba bị xâm nhập, tiêm mã độc vào front-end của một số người dùng, đã kiểm soát và loại bỏ các phụ thuộc bị ảnh hưởng, đang liên hệ với người dùng bị ảnh hưởng và hoàn trả đầy đủ." Nền tảng nhấn mạnh hợp đồng thông minh Polygon không bị ảnh hưởng, đây là một cuộc tấn công chuỗi cung ứng nhắm vào giao diện front-end, kẻ tấn công xâm nhập vào các gói phụ thuộc bên ngoài, chứ không phải logic hợp đồng.

Nạn nhân Ash tự thuật trên X, ví bị hack hoàn toàn không biết nguyên nhân, sau đó mới nhận ra tiền đã được chuyển đi, và công khai chia sẻ địa chỉ ví của mình và kẻ tấn công, trở thành một trong những trường hợp nạn nhân công khai sớm nhất.

Nền tảng hứa hoàn trả, nhưng vấn đề an ninh không phải lần đầu

Người liên quan đến đồng sáng lập Polymarket, William LeGate, công khai tuyên bố sẽ hoàn trả đầy đủ, nhấn mạnh người dùng "sẽ không mất mát". Tuy nhiên, đây không phải lần đầu Polymarket đối mặt với rủi ro an ninh.

Nhà điều tra on-chain ZachXBT vào tháng 3 năm nay chỉ ra rằng, hai hợp đồng thông minh trên Polygon nghi ngờ liên quan đến Polymarket đã bị chuyển đi hơn 520.000 đô la Mỹ, nền tảng lúc đó phản hồi rằng tiền an toàn. Xa hơn vào tháng 12 năm ngoái, sau khi người dùng liên tiếp báo cáo mất tiền và đăng nhập đáng ngờ, nền tảng mới xác nhận một sự cố an ninh trên Discord, đổ lỗi cho một nhà cung cấp đăng nhập bên thứ ba không rõ, giống hệt phương thức tấn công lần này: Bên thứ ba bị xâm nhập, front-end của Polymarket trở thành bàn đạp tấn công.

Tiếp theo, liệu lời hứa hoàn trả có được thực hiện, 3,1 triệu đô la của kẻ tấn công có thể bị truy thu hay không, và liệu Polymarket có công bố chi tiết kỹ thuật đầy đủ về lỗ hổng của nhà cung cấp bên thứ ba hay không, ba câu hỏi này sẽ là tâm điểm mà thị trường chú ý nhất tiếp theo.