Polymarket、悪意のあるスクリプトによるユーザー資金流出後、フロントエンドのサプライチェーン侵害を認め、全額返金を約束

— By Tony Rabbit in News

Polymarket、悪意のあるスクリプトによるユーザー資金流出後、フロントエンドのサプライチェーン侵害を認め、全額返金を約束

Polymarketは2026年6月25日、侵害されたサードパーティベンダーがフロントエンドに悪意のあるスクリプトを注入し、一部のユーザーを騙して資金を流出させる送金を承認させたと確認しました。Polymarketは、このインシデントを封じ込め、影響を受けたユーザーに全額返金すると述べました。オンチェーンアナリストは、約300万ドルの損失と推定しています。

2026年6月25日、予測市場Polymarketは、そのウェブサイトがフロントエンドのサプライチェーン攻撃を受けたことを確認しました。Polymarket自身の声明によると、侵害されたサードパーティベンダーが一部のユーザー向けにサイトに悪意のあるスクリプトを注入し、ユーザーに資金の管理を攻撃者に渡す取引に署名するよう促しました。Polymarketは、このインシデントを封じ込め、影響を受けた依存関係を削除し、影響を受けたユーザーに全額返金すると述べました。重要なことに、これはスマートコントラクトやオラクルのエクスプロイトではありませんでした。プラットフォームの基盤となるコントラクトは侵害されていませんでした。この攻撃はウェブサイト層で発生しており、これがまさに、自己管理で暗号資産を保有するすべての人にとって重要である理由です。

Polymarketが確認したこと

  • Polymarketは2026年6月25日、認証済みXアカウントを通じてフロントエンドの侵害を公式に確認しました。
  • 侵害されたサードパーティベンダーが、一部のユーザー向けにフロントエンドに悪意のあるスクリプトを注入しました。
  • このスクリプトは、影響を受けたユーザーに、Polygon上のPolymarketのUSDC担保型ドル建てトークンであるpUSDの送金を承認するよう促しました。
  • Polymarketは、このインシデントを封じ込め、依存関係を削除し、影響を受けたユーザーに全額返金すると述べました。
  • スマートコントラクトは悪用されていませんでした。これはウェブサイト層への攻撃でした。

何が起こったのか

Polymarketは、Benzinga、Decrypt、Protosなどのメディアによって再現された公開声明で、このインシデントについて説明しました。「今朝、サードパーティベンダーが侵害され、一部のユーザー向けに当社のフロントエンドに悪意のあるスクリプトが注入されたことを発見しました。当社はこれを封じ込め、影響を受けた依存関係を削除しました。影響を受けたユーザーに連絡を取り、全額返金します。」簡単に言えば、Polymarketのウェブサイトが依存していたソフトウェアの一部が乗っ取られ、それを通じて攻撃者は一部の訪問者が読み込んだサイトに悪意のあるコードを忍び込ませました。そのコードはPolymarketのコントラクトを破壊しませんでした。代わりに、ユーザーを騙して、攻撃者がトークンを移動できる承認に署名させました。

コントラクトハックではなく、フロントエンド攻撃

この区別がすべてを物語っています。コントラクトエクスプロイトでは、攻撃者はオンチェーンコードの欠陥を見つけ、プールから直接資金を流出させます。ここでは、コントラクトは問題ありませんでした。脆弱なリンクはウェブサイト、つまりあなたとブロックチェーンの間の層でした。サードパーティの依存関係を侵害することで、攻撃者はサイトがユーザーに署名を求めた内容を変更し、日常的なやり取りをウォレットを空にする承認に変えました。これはサプライチェーン攻撃であり、フロントエンドは背後にある監査済みのコントラクトよりも脆弱であることが多いため、ますます一般的になっています。また、これがどのPolymarketのインシデントであるかを正確に把握することも重要です。これは、2026年5月にPolygonで発生したUMA CTF Adapterのエクスプロイト(オンチェーン調査員によって指摘された別のイベント)や、プラットフォームのオラクルを巡る以前の紛争とは別物です。プラットフォーム自体の背景については、当社のPolymarketと予測市場に関するガイドをご覧ください。

どれくらいの金額が奪われたか

Polymarketは、被害額、被害者数、侵害されたベンダーの名前を公表していません。流通している数字はPolymarketからではなく、オンチェーンアナリストからのものであり、推定値として読むべきです。PeckShield、Bubblemaps、Specterを含むオンチェーンセキュリティ企業は、15未満のウォレットから約300万ドルのpUSDが流出したと報告しており、盗まれたpUSDはPolygonからEthereumにブリッジされ、統合される前にETHに交換されたとアナリストは報告しています。Polymarket自体がこれらの数字を確認していないため、これらは追跡が進むにつれて修正される可能性のあるアナリストの推定値として扱ってください。

あなたのトークンが「安全」であっても、これが重要な理由

ここでの教訓は不快ですが重要です。トークンとコントラクトの安全性は必要ですが、それだけでは十分ではありません。ハニーポットがないかトークンをチェックし、コントラクトがクリーンであることを確認しても、接続先のウェブサイトが侵害され、悪意のあるトランザクションを承認した場合、資金を失う可能性があります。フロントエンドはそれ自体が攻撃対象です。インターフェース自体があなたに嘘をつく場合、残された唯一の防御策は、ウォレットがあなたに何を署名するよう求めているのかを正確に精査することです。

フロントエンドおよび承認攻撃から身を守る方法

まとめ

Polymarketは迅速に対応し、インシデントを封じ込め、全額返金を約束したことで、ユーザーへの損害を限定したようです。しかし、この出来事は、暗号資産においてウェブサイトが脅威モデルの一部であることを明確に思い出させるものです。侵害された依存関係は、信頼されたインターフェースを数秒であなたに敵対させることができ、悪意のあるトランザクションを自分で承認した場合、いかなるコントラクト監査もあなたを救うことはできません。すべての署名で速度を落とし、承認を厳しく保ち、予期せぬプロンプトは、そうでないと証明されるまで敵対的なものとして扱ってください。これは進行中の話であり、アナリストに帰属する数字は変更される可能性があります。この記事は情報提供のみを目的としており、財務アドバイスではありません。