6年前に侵害された秘密鍵により、攻撃者がPolymarketの内部報酬ウォレットにアクセスし、16のアドレスにまたがって約70万ドルが盗まれました。Polygonブロックチェーン上で動作する予測市場プラットフォームは、この侵害がユーザーの入金や市場の結果に影響を与えていないことを確認しました。
オフィス用品の保管庫への古い予備の鍵を誰かが見つけたようなものです。金庫には侵入しませんでしたが、保管庫はかなり徹底的に空にされました。
ドレインがどのように進行したか
オンチェーン調査員のZachXBTとBubblemapsが、5月22日に異常な活動を最初に指摘しました。初期の推定では損失額が約52万ドルとされていましたが、研究者が盗まれた資金を複数のアドレス、取引所、ミキサーにわたって追跡した結果、その額は約70万ドルに上昇しました。
攻撃者は初期段階で30秒ごとに5,000 POLトークンを引き出しました。このような体系的なペースは、手動でボタンを急いでクリックしているのではなく、自動化された手法であることを示唆しています。
侵害されたウォレットは、ユーザー参加報酬の配布に特化して使用されていたレガシー管理アドレスでした。英語では、トレーダーの抵当物や市場決済資金を保管する保管用ウォレットではなく、プロモーションインセンティブを資金調達するためのチャージウォレットでした。
資産の凍結に関する取り組みは部分的な結果をもたらした。573,000ドルのうち約164,000ドルが凍結されたが、これは盗難資金の大部分が、対応が可能になる前に取引所やミキシングサービスを通じて洗浄されていたことを意味する。
そのキー自体は6年前のものだった。背景として、暗号資産インフラにおける6年は、銀行のセキュリティシステムをWindows XPで運用しているのとほぼ同等である。このキーの古さは、一般的でありながら回避可能な脆弱性を示している。つまり、組織は初期段階のセキュリティ手法を超越するが、古い資格情報を廃止することを忘れてしまうという点である。
Polymarketの対応と安全に保たれた内容
Polymarketの開発チームは直ちにユーザーを安心させるための声明を出し、ユーザー資金、スマートコントラクト、および取引システムに影響はなかったと述べました。プラットフォームのコア機能、つまりマーケット作成、取引、決済は一切の中断なく継続されました。
この侵害は報酬配布ウォレットに完全に限定されていました。市場の結果は操作されていません。ユーザーの残高は一切触れておりません。
その違いは重要です。Polymarketは、暗号資産分野で最も注目される予測市場の一つとなり、政治的イベントや大きなニュースサイクルの際に大きな注目を集めています。ユーザーの資金や市場の整合性が実際に侵害された場合、それはまったく異なる話となり、分散型予測市場の信頼モデルそのものを損なう可能性があります。
同社は、この出来事について徹底的な調査を実施していると述べました。その調査が、鍵の保管方法、アクセス権を持つ人物、およびどのようなローテーション方針(またはその欠如)が存在していたかを公に明らかにするかどうかは、注目されるところです。
暗号資産セキュリティにおけるなじみ深いパターン
これは、古くなった管理者キーが弱い環になる初めての事例ではない。暗号資産業界では、レガシーなインフラが繰り返し問題となっている。プロジェクトは小さなチームで立ち上げられ、さまざまな運用ウォレット用のキーが生成された後、早期の資格情報の監査なしに急速にスケールする。
今回の攻撃ベクトルはスマートコントラクトのバグでも、フラッシュローンの悪用でも、複雑なDeFi操作でもありませんでした。数年前にローテートまたは廃止されるべきだった秘密鍵が原因でした。最も単純な攻撃が、誰もチェックしないからこそ、最も深刻な被害をもたらすことが多いのです。
過去にも類似の事例が他のプロジェクトに発生しています。プロジェクトの初期段階で使用されたホットウォレット、管理者キー、デプロイアドレスは、攻撃者にとって継続的な攻撃面を形成しています。フィッシング、マルウェア、または内部者によるいずれかの方法で秘密鍵が漏洩した場合、チェーン上にその保有者が取引を実行するのを阻止する仕組みは存在しません。
マルチシグウォレット、ハードウェアセキュリティモジュール、定期的なキーのローテーションはすべて標準的な対策です。6年前に作成された単一のキーが、依然として資金が入っているウォレットに対して権限を持っていたという事実は、この特定のアドレスではこれらのいずれかの実践が行われていなかったことを示唆しています。
これは投資家およびユーザーにとって何を意味するのか
70万ドルの損失は、暗号資産の攻撃基準では比較的控えめです。しかし、ユーザーの信頼に依存して機能するプラットフォームにとって、評判へのダメージは金額を上回る可能性があります。
予測市場は本質的に信頼に依存しています。ユーザーは現金をかけて結果に賭けており、資金を管理し賭けを解決するプラットフォームが安定して運用されていることを信じる必要があります。報酬ウォレットに限定された侵入でも、バックグラウンドに他のレガシーシステムが存在する可能性について疑念を招きます。
Polymarketを積極的に利用しているトレーダーにとって、即時のリスクは制御されているように見えます。ユーザーの資金は侵害されておらず、プラットフォームのスマートコントラクトもこの攻撃には関与していません。入金、出金、およびマーケット決済を処理する運用インフラは、侵害されたウォレットとは完全に分離されていたようです。
より大きな懸念はシステム全体の問題である。ポリマーケットのような、最も有名で資金力のある予測プラットフォームの1つが、6年前のキーを用いて資金へのアクセスを継続していたとすれば、規模が小さくリソースが限られたプロジェクトでは、キー管理のセキュリティがどのように行われているのだろうか?この出来事は、ユーザーがスマートコントラクトの監査レポートだけでなく、自身の資金を預けるあらゆるプラットフォームの運用セキュリティについて、より厳しい質問を促すべきである。
競合プラットフォームは、この機会を活用してセキュリティ慣行で差別化を図る可能性があります。鍵の透明なローテーション方針、すべての運用ウォレットに対するマルチシグ要件、および定期的な第三者によるセキュリティ監査は、本格的なボリュームを引き寄せようとするプラットフォームにとって必須条件となるでしょう。信頼が商品であるこの市場において、最も厳格な運用セキュリティを信頼できる形で示すプラットフォームが明確な優位性を獲得します。
現在、164,000ドルの一部凍結は、盗まれた資金の大部分が回収不可能であることを意味している。ミキサーおよび取引所を通過した資金は、実質的に失われたものと見なされる。法執行機関やオンチェーンフォレンジックスが、残りの資金を特定可能な当事者に追跡できるかどうかは未解決の問題であるが、ミキシングサービスを経るたびにその可能性は低下する。