はじめに
Polymarketは金曜日、オンチェーン調査員のZachXBTが、予測市場のPolygonインフラに関連するウォレットからの疑わしいドレインを指摘したことで、セキュリティインシデントが発生した。最初は$520,000超が行方不明として報告された。Polymarketの開発者はその後この件を認め、報奨(リワード)業務に使われている「内部の入金(トップアップ)」用ウォレットの秘密鍵が侵害されたことを確認しつつ、ユーザー資金と市場の結果は安全だと述べた。その後、オンチェーン分析プラットフォームのBubblemapsは、総損失を約$700,000と推定し、盗まれた資金は16のアドレスに分割され、中央集権型取引所やその他のサービスを経由して送金されたとした。
事故の詳細
Polymarketの開発チームは2026年5月22日、セキュリティ報告に対応する声明を発表した。「調査結果は、契約(コントラクト)や中核インフラではなく、内部のトップアップ業務に使われるウォレットの秘密鍵が侵害されたことを示唆している」とした。声明では、ユーザー資金と市場の決着(レゾリューション)は当該インシデントの影響を受けていないと強調した。
最初の開示から1時間以上後にリリースされたBubblemapsの分析は、侵害についてより詳細な評価を示した。同プラットフォームによれば、約$700,000の資金が悪用され、16のアドレスに分配され、その後盗まれた資産は中央集権型取引所やその他の金融サービスを通じてルーティングされたという。
今回のインシデントで関与したウォレットは、ユーザー資金を扱い、市場の結果を決定する中核契約とは別に、報奨金の支払いに使われていた。Polymarket上の予測市場は、賭け(ベット)を記録し、外部サービスが結果を確認した後に勝者に支払う契約を通じて運用されている。
技術評価および専門家分析
香港中文大学の准教授であるBlockSec共同創業者Andy Yajin Zhouは、Decryptに対し、同社の初期レビューはPolymarketの説明と一致していたと語った。「当社の初期分析に基づくと、これはアダプタ契約ロジックの欠陥、あるいは予測市場インフラそのものの欠陥とは見えません」とZhouは述べた。「現時点では、プロトコル・レベルのエクスプロイト、オラクルの操作、またはアダプタ型市場インフラにおける一般化された脆弱性を示す証拠は特定できていません。」
Zhouは、今回の事案が、鍵の管理、アクセス制御、署名ポリシー、監視など、日常業務に用いられるウォレットの周辺にある他の保護策を含む、運用上のセキュリティリスクを反映していると指摘した。
ブロックチェーン・セキュリティ企業Cyversも同様の結論に達し、このインシデントはPolymarketの中核契約や市場決済システムではなく、運用(オペレーション)用または管理(admin)用ウォレットに影響していると判断した。Cyversのシニア・セキュリティ運用リードであるHakan UnalはDecryptに対し、こう述べた。「たとえ予測市場のプロトコルがスマートコントラクトのレベルで安全であっても、権限のあるアダプタ用、あるいは管理用ウォレットは、鍵管理や運用セキュリティが侵害されると、重大な攻撃対象面(attack surface)となり得ます。」
業界リスクとしての運用セキュリティ
暗号インフラ開発者Horizontal Systemsの戦略責任者Dan Dadybayoは、今回の事案を、攻撃者が暗号資産のプロジェクトを狙う方法におけるより大きな変化の一部だと位置づけた。「これは、スマートコントラクトのエクスプロイトというよりも、鍵管理の失敗であるようにますます見えてきます」とDadybayoはDecryptに語った。「暗号領域で起きている興味深い変化は、攻撃者が主にプロトコルを壊すのではなくなっていることです。攻撃対象はその周囲の運用レイヤー、つまり管理用ウォレット、権限、そしてインフラになっています。」
このインシデントは、予測市場プラットフォームにおけるプロトコル・レベルのセキュリティと、運用インフラのセキュリティとの違いを浮き彫りにしている。
