ハッカーがベンダー攻撃でPolymarketから300万ドルを奪取
Polymarketのセキュリティ侵害、第三者ベンダーへのハッキングで300万ドルの損失が発覚
予測市場プラットフォームPolymarketは、第三者ベンダーへの侵害を悪用したハッカーにより、約300万ドル相当のユーザー資産が盗まれたことを確認した。これは、コアとなるブロックチェーンインフラが安全な状態であっても、暗号資産プラットフォームが直面するサイバーセキュリティリスクの深刻化を浮き彫りにしている。
同社によると、2026/6/25に公表されたこの事件は、15件未満のユーザーアカウントに影響を与えた。被害者の数は限られていたものの、攻撃者がPolymarketのスマートコントラクトやブロックチェーンインフラの欠陥を突いたわけではないため、デジタル資産業界全体で大きな注目を集めている。攻撃者は外部サービスプロバイダーを通じてプラットフォームに侵入し、悪意のあるコードをPolymarketのウェブサイトに直接注入した。
同社は脆弱性はすでに排除されたと述べ、影響を受けたすべての顧客に全額補償することを約束した。しかしながら、この侵害により、第三者ベンダーのセキュリティと、暗号資産プラットフォームを標的にしたサプライチェーン攻撃の高度化に対する懸念が再燃している。
第三者ベンダーが侵入口に
Polymarketによると、攻撃は外部ベンダーの一社がハッカーに侵害されたことから始まった。同社は関与したサービスプロバイダーを公表していないが、この侵害により攻撃者はプラットフォームのフロントエンドインフラに悪意のあるコードを注入することが可能になった。
コードはPolymarketの稼働中のウェブサイトを通じて配信されたため、プラットフォームを訪問したユーザーには何か問題があるという兆候は見られなかった。悪意のあるスクリプトは正規のウェブサイト機能と並行して実行され、攻撃者は即座に検知されることなく特定のユーザーを標的にすることができた。
 |
| 出典: Xpost |
サイバーセキュリティの専門家は、この手法を一般的にサプライチェーン攻撃と呼んでいる。攻撃者は主要ターゲットに直接侵入しようとするのではなく、信頼された第三者プロバイダーを侵害する手法だ。
これらの攻撃は、企業とベンダーの間の信頼関係を悪用するため、テクノロジー業界全体でますます一般的になっている。
内部セキュリティの複数の層を突破する代わりに、攻撃者はソフトウェアプロバイダー、クラウドサービス、分析ツール、または組織が日常的に依存するその他の外部システムに侵入することで間接的なアクセスを獲得する。
Polymarketのケースでは、その信頼された接続が最終的に顧客資産盗難の入口となった。
約300万ドル相当のデジタル資産が盗難
その後、ブロックチェーン調査員は、攻撃者が主にPolymarketエコシステム全体で広く使用されているステーブルコインであるpUSDを標的にしたことを確認した。
盗難後、盗まれたトークンは分散型取引メカニズムを通じて速やかにEther(ETH)に交換された。
盗まれたステーブルコインをETHに換えることは、暗号資産ハッカーの間でよく使われる手口だ。取引の追跡を複雑にし、盗まれた資金の回収をより困難にするためである。
オンチェーン分析は、攻撃者が迅速に行動したことを示しており、悪意のあるコードが展開される前に作戦が慎重に計画されていたことを示唆している。
ランダムな窃盗を行うのではなく、ハッカーは比較的残高の多いウォレットに焦点を当てていたようだ。
確認された被害者が15人未満にもかかわらず、総損失は約300万ドルに達しており、個々のアカウントが相当量のデジタル資産を保有していたことを示している。
全額補償を約束
Polymarketは侵害を特定した直後に対応し、悪意のあるコードがウェブサイトから削除され、エクスプロイトが完全に封じ込められたことを確認した。
同社は、影響を受けたすべての顧客が全額補償を受け取ると述べ、この事件によってユーザーが永続的な財務的損失を被らないようにすると約束した。
補償は即時の財務的影響を軽減するかもしれないが、業界アナリストは、ユーザーの信頼を回復することが盗まれた資金を補填することよりも困難であることが多いと指摘している。
信頼は暗号資産プラットフォームにとって最も価値ある資産の一つであり、特にユーザーが定期的に多額の残高を維持する実取引や予測市場を扱うプラットフォームにとってはなおさらだ。
したがって、Polymarketの対応の速さは、プラットフォームが既存ユーザーと将来の顧客の両方から信頼を取り戻すまでの速度を左右する重要な要因となるかもしれない。
2度目のセキュリティ事件が新たな疑問を提起
今回の侵害はまた、2ヶ月も経たない間にPolymarketが関与した2度目の重大なセキュリティ事件となった。
2026年5月、同社はPolygonブロックチェーン上での報酬配布に関連する内部運用ウォレットに関するサイバーセキュリティ事件を経験した。
その以前の攻撃では、情報源によって異なるが、52万ドルから70万ドルの損失が生じたと推定されており、顧客残高に直接影響を与えることはなかった。
最新の事件とは異なり、5月の侵害はユーザーアカウントではなく、会社が管理するウォレットを標的にした。
2つの攻撃は異なる弱点を悪用したものの、その近接したタイミングにより、サイバーセキュリティの専門家や暗号資産コミュニティのメンバーからの精査が強まっている。
繰り返される事件は当然、内部セキュリティ手順、ベンダー監視、監視システム、および事件検知能力についての疑問を提起する。
いずれの侵害もPolymarketのブロックチェーンインフラ自体の脆弱性を突いたわけではないが、両方の事件は運用セキュリティがスマートコントラクトだけをはるかに超えたものであることを示している。
サプライチェーン攻撃が特に危険な理由
サプライチェーン攻撃は、技術的な弱点よりも信頼を悪用するため、最も急成長しているサイバーセキュリティの脅威の一つとなっている。
企業がウェブサイトや運用システムに外部ソフトウェアプロバイダーを統合すると、それらのベンダーは事実上、企業自身のインフラの延長となる。
攻撃者がそれらのプロバイダーの一つを侵害すると、悪意のあるコードが従来のセキュリティアラームを作動させることなく正規のプラットフォームに広がる可能性がある。
暗号資産サービスにとって、その影響は特に深刻になり得る。
侵害されたウェブサイトとやり取りするユーザーは、完全に正当に見えるウォレット取引を承認したり、悪意のあるリクエストに署名したりすることに気づかないことが多い。
ウェブサイト自体は本物のままであるため、ほとんどの被害者は資産がすでに移転されるまで何か異常があると疑う理由がほとんどない。
盗まれたpUSDをETHに急速に換えたことは、攻撃者が作戦を開始する前に出口戦略を確立していたことを示唆している。
このような準備は、高度に協調されたキャンペーンを通じて暗号資産窃盗を専門とする組織的なサイバー犯罪グループと一致している。
業界はベンダーセキュリティ強化への圧力増大に直面
Polymarketの事件は、デジタル資産業界が直面するより広範な課題を反映している。
暗号資産プラットフォームがインフラの拡大を続けるにつれ、クラウドコンピューティング、分析、ソフトウェア開発、決済処理、顧客エンゲージメントのために外部サービスプロバイダーへの依存度が増している。
追加される統合のたびに、新たな脆弱性の潜在的なポイントが生まれる。
業界の観察者は、最新の攻撃を受けて、ベンダーリスク管理にさらに重点が置かれることを予想している。
第三者プロバイダーの独立したセキュリティ監査、フロントエンドコードの継続的なモニタリング、より厳格なソフトウェア検証手順、およびリアルタイムの整合性モニタリングが、暗号資産プラットフォーム全体でますます一般的になるかもしれない。
一部のサイバーセキュリティの専門家はまた、ユーザーが侵害されたインターフェースとやり取りする前に不正なウェブサイトの変更を検出できるブラウザベースの整合性検証システムのより広い採用を支持している。
このような技術はWeb3エコシステム内ではまだ比較的一般的ではないが、このような事件が広範な実装を加速させる可能性がある。
投資家が注目すべき次のポイント
今後数週間で、市場が最終的にこの事件をどのように見るかが決まるだろう。
いくつかの動向に注目する必要がある。
第一に、ユーザーと業界の観察者は、侵害されたベンダーと攻撃の正確な技術的詳細についてより大きな透明性を求めるだろう。
第二に、多くの人々がPolymarketに対し、内部システムだけでなく外部サービスプロバイダーとの関係も評価する独立したセキュリティ監査を委託することを期待している。
第三に、取引活動がユーザー信頼の重要な指標となるだろう。
補償プロセス後も取引量とアクティブユーザーが安定していれば、コミュニティがプラットフォームの長期的なセキュリティへの信頼を保持していることを示唆するかもしれない。
逆に、活動の長期的な低下は、影響を受けたユーザーへの補償という同社のコミットメントにもかかわらず、永続的な評判の損傷を示している可能性がある。
セキュリティはブロックチェーンを超えて広がるという教訓
Polymarketの侵害は、暗号資産業界内でますます重要な現実を浮き彫りにしている。つまり、ブロックチェーン技術は安全な状態を保てるが、周囲のインフラが最も弱いリンクになる可能性があるということだ。
今回のケースでは、攻撃は分散型技術やスマートコントラクトの欠陥を突いたものではなかった。
代わりに、ハッカーは侵害された第三者ベンダーを巧みに利用してプラットフォームのフロントエンドに侵入し、信頼された外部関係が重大なサイバーセキュリティリスクになり得ることを示した。
影響を受けたユーザーが15人未満で、すべての損失が補償される見込みであるが、この事件は運用セキュリティがブロックチェーンイノベーションとともに進化しなければならないことを改めて示している。
Polymarketにとって、課題は今や財務的な補償を超えたものとなっている。
信頼の再構築、ベンダー監視の強化、そして改善されたサイバーセキュリティ慣行の実証が、急速に拡大する予測市場業界内で競争が激化する中、プラットフォームがどのように評価されるかを左右するだろう。
hoka.news – 単なる暗号資産ニュースではない。これは暗号資産カルチャーだ。
ライター: Barland Vex
暗号資産マーケットアナリスト&オンチェーンストーリーテラー
Barland Vexは、デジタル市場の混乱を遊び場とするベテランの暗号資産ライターだ。Bitcoinの動き、DeFiの波、そして数時間で何百万ドルもの資金を動かすナラティブを読む鋭い直感で、Vexは常に市場の一歩先を行く分析を届ける。
Google Newsで他のニュースや記事もチェック
免責事項:
hoka.newsに掲載されている記事は、暗号資産やテクノロジーニュースを含む様々なトピックに関する最新情報を提供することを目的としています。当サイトのコンテンツは、いかなる資産の売買や投資への誘いを意図するものではありません。読者の皆様には、投資や財務上の決定を行う前に、独自の調査と評価を行うことをお勧めします。
hoka.newsは、当サイトで提供される情報の使用から生じる可能性のある損失や損害について責任を負いません。投資の決定は、十分な調査と資格を持つ財務アドバイザーからのアドバイスに基づいて行うべきです。hoka.newsの情報は予告なく変更される場合があり、掲載されたコンテンツの正確性や完全性を保証するものではありません。
関連コンテンツ
Cryptopolitan、暗号資産データダッシュボードを公開し、完全なエージェントAIアクセスを備えた初のメディアプラットフォームに
カルダノ2020年以来の安値 2つのオンチェーン指標が反発を示唆
バーサ・マレーシア、土壇場での銀行株反発が市場をプラス圏に押し上げ小幅高
