Higit sa $520,000 ang nawala mula sa mga wallet na may kinalaman sa operasyon ng Polymarket sa network ng Polygon pagkatapos ng pagkakamali sa private key na kinumpirma ng platform ng prediction market. Hindi isang exploit sa smart contract, hindi rin isang vulnerability sa protocol. Tanging isang tao ang nakakuha ng mga key na hindi dapat nilang mayroon.
Ang blockchain investigator na si ZachXBT ang unang nagpaalala sa mga hindi karaniwang paglabas noong Mayo 22, at natukoy ang dalawang address na kaugnay sa mga contract ng Polymarket’s UMA Conditional Token Framework (CTF) Adapter. Mabilis na nagbigay ng paglilinaw ang koponan ng Polymarket: ang naka-compromise na wallet ay isang panloob na wallet na ginagamit para sa mga payout ng rewards, at hindi naapektuhan ang mga pondo ng mga user.
Ano ang nangyari at ano ang hindi
Narito ang tungkol sa mga insidente ng seguridad sa crypto. Ang pagkakaiba sa pagitan ng “nakuha ng isang tao ang key” at “binuksan ng isang tao ang vault” ay napakalaking bagay. Sa kasong ito, hinango ang halos 5,000 POL tokens at isang hindi inihayag na amount ng USDC mula sa isang internal operations wallet na ilarawan ng Polymarket.
Isipin ito tulad ng isang tao na kumukuha ng susi sa lalagyan ng pondo para sa mga maliit na gastos ng isang kumpanya kaysa sa pagbuksan ng tunay na vault ng bangko. Nawala pa rin ang pera, ngunit hindi sinisira ang estruktural na integridad ng sistema.
Malinaw sa Polymarket sa puntos na ito: ang pagpapasya ng mga merkado, ang operasyon ng platform, at ang infrastruktura ng smart contract ay nanatiling buo sa buong insidente. Sinimulan ng koponan ang mga prosedurang pagpapalit ng susi at pinatotohanan na patuloy pa ang imbestigasyon.
Si ZachXBT, na nagtataglay ng reputasyon bilang di-pormal na forensic accountant ng crypto, ay nakakita ng mga anomalous na transaksyon na dumadaloy sa mga CTF Adapter contracts. Ang kanyang alerto ay nagbigay sa mas malawak na komunidad ng unang tingin sa insidente bago ipahayag ng Polymarket ang kanilang sariling pahayag. Sa Ingles: ang mga address na naglilipat ng pera ay konektado sa settlement infrastructure ng prediction market ng Polymarket, na naging dahilan kung bakit ang mga outflow ay tila mas nakakatakot kaysa sa totoo nang naging resulta.
Ang tanong sa seguridad na hindi makakalimutan ni Polymarket
Ang pagkakasira ng private key ay, sa maraming paraan, isang mas hindi komportableng pagkabigo sa seguridad kaysa sa isang bug sa smart contract. Ang pagpapalabas ng smart contract ay mga teknikal na problema na may teknikal na solusyon. Ipinapatch mo ang code, i-audit mo muli, at ipagpatuloy mo. Ang pagkakasira ng key ay nagtuturo sa mga pagkabigo sa operasyonal na seguridad, ang tao na layer ng crypto infrastructure na hindi kayang ayusin ng anumang magandang Solidity.
Ang natural na tanong ay: paano na-compromise ang key sa unang pagkakataon? Hindi pa naglabas ng detalye ang Polymarket tungkol sa attack vector. Iba ba ito sa phishing? Isang nasiraang device? Isang insider threat? Bawat skenaryo ay may iba’t ibang epekto sa security posture ng platform sa hinaharap.
Para sa konteksto, lumaki na ang Polymarket bilang isa sa mga pinakamahalagang prediction market sa crypto, na nagdudulot ng malaking atensyon sa panahon ng mga kamakailang pampulitika at pandaigdigang pangyayari. Ang platform ay nagproseso ng malalaking volume ng trading activity, gawa nito ang operasyonal na seguridad nito bilang isang bagay ng malawak na interes ng merkado kaysa isang niche na pag-aalala.
Ang pamamahala ng private key ay nasa pundasyon ng bawat crypto operation. Karaniwang kasama ng mga pinakamahusay na praktika sa industriya ang hardware security modules, multi-signature wallets, at tiered access controls para sa iba’t ibang operational functions. Kung mayroon ba ang Polymarket sa mga pagsisiguro na ito para sa kompromisong wallet, at kung oo, paano ito na-circumvent, ay ang mga kritikal na tanong na kailangang sagutin ng imbestigasyon.
Ang bilang na $520,000, bagaman hindi kritikal ayon sa mga pamantayan ng crypto exploit, ay sapat na malaki upang magdulot ng seryosong pagmamasid. Ihambing ito sa mga multi-hundred-million-dollar na bridge exploit at DeFi hacks na nagpapahina sa industriya, at tila ito ay relatif na nakapag-iiwan. Ngunit ang kalikasan ng paglabas, higit sa sukat nito, ang mahalaga dito.
Ano ang ibig sabihin nito para sa mga investor
Ang mabilis na pagpapatotoo ng Polymarket na ligtas ang pera ng mga user ang pinakamahalagang detalye para sa anumang aktibong nagtatrabaho sa platform. Kung mayroon kang open na position, ang pera at mga resulta ng iyong merkado ay hindi naapektuhan ayon sa mga ulat.
Pero tingnan mo, ang pagpapakita ng pagkakatiyak pagkatapos ng isang security incident ay pangunahing kinakailangan. Lahat ng nasiraang protokolo ay nagsasabing ligtas ang mga pondo ng user agad pagkatapos ng insidente. Ano ang nagpapagkakaiba sa mga platform na nakakapanatili ng tiwala mula sa mga nawawalan nito ay ang nangyayari sa mga linggo at buwan pagkatapos ng breach.
Dapat suriin ng mga investor ang ilang partikular na signal. Una, kung nagpapalabas ang Polymarket ng detalyadong post-mortem na nagpapaliwanag kung paano kompromiso ang susi at anong mga hakbang ang ginawa para i-remedyo. Ikalawa, kung sumasailalim ang platform sa isang independiyenteng security audit ng mga operasyonal na praktika nito, hindi lamang ang mga smart contract nito. Ikatlo, kung kinuha o natukoy ang mga perang nasasayang sa mga kilala o makikilalang entidad.
Ang mas malawak na DeFi market ay patuloy na mas sensitibo sa mga pagkabigo sa operasyonal na seguridad. Ang mga platform na nagsasailalim sa mga paglabas, kahit maliit lamang, ay karaniwang nakakaranas ng pagbaba sa trading volume sa maikling panahon dahil ang mga user ay umiiwi patungo sa mga kalaban na kanilang itinuturing na mas ligtas. Nagpapatakbo ang Polymarket sa isang kaunting natatanging niche bilang isang prediction market kaysa isang tradisyonal na DeFi protocol, kaya ang kanilang kompetitibong advantage ay malalaking nakabatay sa likwididad at tiwala ng user kaysa sa mga mekanismo ng yield.
Para sa mas malawak na crypto ecosystem, ang insidente na ito ay isa pang data point sa lumalaking argumento na dapat magkaroon ng parehong antas ng atensyon at investimento ang operational security gaya ng smart contract security. Ang industriya ay naglagay ng malaking mga yaman sa code audits at formal verification sa nakaraang ilang taon. Ang mga tao at operational layers, key management, access controls, at internal security protocols, ay hindi laging nakatanggap ng parehong kahusayan. Hanggang sa magbago ito, ang pagkakasira ng private key ay magpapatuloy na isa sa mga pinakakaraniwan at maiiwasang attack vectors sa crypto.