Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายใน – เงินของผู้ใช้ยังปลอดภัย

เมื่อวันที่ 14 มิถุนายน 2026, Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายในที่สร้างความตื่นตระหนกในชุมชนตลาดการคาดการณ์ การละเมิดนี้ถูกชี้ให้เห็นเป็นครั้งแรกโดยบริษัทวิเคราะห์ข้อมูลบนบล็อกเชน Bubblemaps ซึ่งเกี่ยวข้องกับการโอนเงินอัตโนมัติที่น่าสงสัยจากกระเป๋าเงินที่ดำเนินการซึ่งเชื่อมโยงกับระบบรางวัลของแพลตฟอร์ม Polymarket ได้ดำเนินการอย่างรวดเร็วเพื่อชี้แจงว่าเงินของผู้ใช้ยังคงปลอดภัย โดยระบุว่าเหตุการณ์นี้เกิดจากการถูกเปิดเผยกุญแจส่วนตัว ไม่ใช่ข้อบกพร่องในสัญญาอัจฉริยะหลักของแพลตฟอร์ม ความแตกต่างนี้มีความสำคัญอย่างมาก: ความเปราะบางของสัญญาอัจฉริยะจะเป็นภัยคุกคามต่อทุกดอลลาร์ในแพลตฟอร์ม ในขณะที่กระเป๋าเงินที่ดำเนินการถูกเปิดเผย แม้ว่าจะร้ายแรง แต่ก็ถือเป็นปัญหาที่ถูกควบคุม สำหรับผู้ที่ติดตามภัยคุกคามด้านความปลอดภัยของแพลตฟอร์มการเงินแบบกระจายศูนย์ที่พัฒนาไปในเวลาจริง เหตุการณ์นี้เสนอกรณีศึกษาอันมีค่าเกี่ยวกับวิธีที่ตลาดการคาดการณ์สมัยใหม่จัดการกับความล้มเหลวด้านความปลอดภัย ว่ามีอะไรที่ทำได้ดี และสิ่งใดที่ยังต้องแก้ไข

การค้นพบ: การแจ้งเตือนของ Bubblemaps และการไหลออกอัตโนมัติ

สัญญาณสาธารณะครั้งแรกไม่ได้มาจาก Polymarket เอง แต่เป็นจาก Bubblemaps เครื่องมือการมองเห็นบนบล็อกเชนที่ติดตามกลุ่มกระเป๋าเงินและการไหลของโทเคนในหลายเครือข่าย ระบบการแจ้งเตือนอัตโนมัติของพวกเขาได้ชี้ให้เห็นถึงรูปแบบของการไหลออกจากที่อยู่ที่รู้จักซึ่งเชื่อมโยงกับ Polymarket บนเครือข่าย Polygon ซึ่งกระตุ้นให้เกิดการตรวจสอบจากชุมชนความปลอดภัยของคริปโตในวงกว้าง

ภายในไม่กี่ชั่วโมง นักวิจัยอิสระได้ยืนยันการค้นพบนี้ กระเป๋าเงินที่เกี่ยวข้องถูกระบายออกอย่างเป็นระบบผ่านชุดของธุรกรรมที่เหมือนกัน โดยแต่ละรายการเคลื่อนย้ายจำนวนโทเคน POL ที่กำหนดในช่วงเวลาที่แน่นอน ความแม่นยำทางกลของการโอนเงินเป็นสัญญาณที่ชัดเจน: ไม่มีผู้ดำเนินการมนุษย์คนใดที่จะย้ายเงินในรูปแบบที่เข้มงวดและซ้ำซากเช่นนี้

การรู้จำรูปแบบ: การโอน POL จำนวน 5,000 ครั้งซ้ำๆ

ผู้โจมตีได้ดำเนินการโอนเงินจำนวน 5,000 POL ทุกๆ 12 นาทีเป็นระยะเวลาหลายชั่วโมง วิธีการดึงเงินแบบนี้เป็นกลยุทธ์ที่พบได้บ่อย แทนที่จะทำการถอนเงินจากกระเป๋าเงินในธุรกรรมขนาดใหญ่เพียงครั้งเดียวซึ่งจะกระตุ้นการแจ้งเตือนในทันทีและอาจถูกหยุดหรือแช่แข็ง ผู้โจมตีได้กระจายการขโมยออกไปในหลายธุรกรรมขนาดเล็ก

เมื่อ Bubblemaps แจ้งเตือน ประมาณ 230,000 POL (มีมูลค่าประมาณ 115,000 ดอลลาร์ในขณะนั้น) ได้ออกจากกระเป๋าเงินไปแล้ว ความสม่ำเสมอของจำนวนและเวลาชี้ให้เห็นอย่างชัดเจนว่ามีสคริปต์หรือบอทที่จัดการการดึงเงิน ไม่ใช่การถอนเงินด้วยมือ

การติดตามที่อยู่ของผู้โจมตีบนเครือข่าย Polygon

นักสืบบนบล็อกเชนได้ติดตามที่อยู่ที่รับเงินอย่างรวดเร็ว ที่อยู่ของผู้โจมตีไม่มีประวัติการทำธุรกรรมก่อนเกิดเหตุการณ์ ซึ่งเป็นเรื่องปกติของกระเป๋าเงินที่สร้างขึ้นใหม่ที่ใช้ในการโจมตี ความโปร่งใสของ Polygon หมายความว่าทุกขั้นตอนสามารถมองเห็นได้ต่อสาธารณะ แต่ความรวดเร็วของการดึงเงินและการปกปิดที่ตามมาทำให้การแทรกแซงในเวลาจริงเป็นเรื่องยาก บริษัทนิติวิทยาศาสตร์บล็อกเชน เช่น Chainalysis และ Arkham Intelligence เริ่มติดแท็กที่อยู่ที่เกี่ยวข้องภายใน 24 ชั่วโมง

แถลงการณ์อย่างเป็นทางการของ Polymarket: การเปิดเผยกระเป๋าเงินภายใน

การตอบสนองของ Polymarket เกิดขึ้นประมาณหกชั่วโมงหลังจากการแจ้งเตือนของ Bubblemaps แพลตฟอร์มได้เผยแพร่แถลงการณ์บน X (เดิมคือ Twitter) และบล็อกอย่างเป็นทางการของพวกเขายืนยันการละเมิดและให้รายละเอียดเบื้องต้น แถลงการณ์ระบุอย่างชัดเจนว่าไม่มียอดเงินของผู้ใช้, สถานะตลาด หรือกลไกการแก้ไขได้รับผลกระทบ Polymarket อธิบายเหตุการณ์นี้ว่าเป็น “การเปิดเผยกุญแจส่วนตัวของกระเป๋าเงินภายในที่ดำเนินการ” โดยวาดเส้นชัดเจนระหว่างการละเมิดนี้และความเปราะบางทางระบบในสถาปัตยกรรมของแพลตฟอร์ม

การเปิดเผยกุญแจส่วนตัว vs. ความเปราะบางของสัญญาอัจฉริยะ

ความแตกต่างนี้มีความสำคัญและควรเข้าใจอย่างชัดเจน ความเปราะบางของสัญญาอัจฉริยะหมายถึงโค้ดที่ควบคุมฟังก์ชันหลักของแพลตฟอร์ม (การฝาก, การถอน, การสร้างตลาด, การแก้ไข) มีข้อบกพร่องที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ข้อบกพร่องประเภทนี้สามารถทำให้โปรโตคอลทั้งหมดถูกระบายออก เราเห็นสิ่งนี้กับการแฮ็ก Euler Finance ในปี 2023 และการโจมตี Mango Markets ในปี 2022

การเปิดเผยกุญแจส่วนตัวนั้นแตกต่างอย่างสิ้นเชิง หมายความว่ามีคนเข้าถึงกุญแจเข้ารหัสที่ควบคุมกระเป๋าเงินเฉพาะหนึ่งใบ สัญญาอัจฉริยะของแพลตฟอร์มทำงานตามที่ออกแบบไว้; ปัญหาคือมีฝ่ายที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลประจำตัวของที่อยู่เฉพาะหนึ่งที่อยู่ คิดซะว่าเป็นการขโมยกุญแจสำนักงานของผู้จัดการธนาคารกับการค้นหาข้อบกพร่องในกลไกล็อคของตู้นิรภัย ทั้งสองอย่างไม่ดี แต่ขอบเขตของความเสียหายแตกต่างกันอย่างมาก

การตรวจสอบสัญญาอัจฉริยะล่าสุดของ Polymarket ซึ่งดำเนินการโดย Trail of Bits ในต้นปี 2026 ไม่พบความเปราะบางที่สำคัญ ผลลัพธ์การตรวจสอบสัญญาอัจฉริยะของ Polymarket ยังคงมีความเกี่ยวข้องที่นี่เพราะยืนยันความสมบูรณ์ของโค้ดที่ควบคุมเงินของผู้ใช้จริงๆ

บทบาทของกระเป๋าเงินในการดำเนินการในรางวัล

กระเป๋าเงินที่ถูกเปิดเผยมีหน้าที่เฉพาะ: การแจกจ่ายรางวัลการขุดสภาพคล่องและแรงจูงใจส่งเสริมให้กับผู้ค้าแอคทีฟ มันถือโทเคน POL ที่กำหนดไว้สำหรับโปรแกรมเหล่านี้ ไม่ใช่ USDC หรือสเตเบิลคอยน์อื่นๆ ที่ใช้สำหรับสถานะตลาด

กระเป๋าเงินนี้ทำงานเป็นกระเป๋าเงินร้อน ซึ่งหมายความว่ากุญแจส่วนตัวของมันถูกเก็บไว้ในลักษณะที่อนุญาตให้มีการทำธุรกรรมอัตโนมัติและบ่อยครั้ง การแลกเปลี่ยนความปลอดภัยระหว่างกระเป๋าเงินร้อนกับการเก็บรักษาเย็นนั้นเป็นที่เข้าใจกันดีในอุตสาหกรรม: กระเป๋าเงินร้อนช่วยให้เกิดความเร็วและการทำงานอัตโนมัติ แต่มีความเสี่ยงสูงกว่าเพราะกุญแจของมันสามารถเข้าถึงได้จากระบบออนไลน์ การเก็บรักษาเย็นมีความปลอดภัยมากกว่า แต่ไม่เหมาะสมสำหรับการจ่ายเงินที่มีความถี่สูงและอัตโนมัติ ความจำเป็นในการออกแบบกระเป๋าเงินนี้คือสิ่งที่ทำให้มันมีความเสี่ยง

การประเมินผลกระทบและการรับประกันความปลอดภัยของผู้ใช้

ความเสียหายทางการเงินจากเหตุการณ์นี้ถูกควบคุมไว้ในระดับที่ค่อนข้างต่ำ โทเคน POL ที่ถูกขโมยประมาณ 115,000 ดอลลาร์นั้นเป็นเพียงสัดส่วนเล็กน้อยของมูลค่ารวมที่ล็อคไว้ของ Polymarket ซึ่งเกิน 480 ล้านดอลลาร์ในขณะเกิดเหตุการณ์ ปริมาณการซื้อขายรายวันของแพลตฟอร์มไม่ได้รับผลกระทบ และไม่มีตลาดใดถูกหยุดหรือรบกวน

สถาปัตยกรรมของ Polymarket มีบทบาทสำคัญในการจำกัดความเสียหาย แพลตฟอร์มแยกกระเป๋าเงินที่ดำเนินการออกจากโครงสร้างพื้นฐานของสัญญาอัจฉริยะที่ถือเงินฝากของผู้ใช้และจัดการผลลัพธ์ของตลาด การแยกนี้เป็นการเลือกออกแบบที่ตั้งใจ และมันได้ผลในที่นี้

การแยกเงินฝากของผู้ใช้และการแก้ไขตลาด

เงินของผู้ใช้บน Polymarket ถูกเก็บไว้ในสัญญาอัจฉริยะบน Polygon ซึ่งควบคุมโดยโค้ดของโปรโตคอล ไม่ใช่โดยกุญแจส่วนตัวเดียว การฝาก, การถอน, และการแก้ไขตลาดทั้งหมดดำเนินการผ่านสัญญาเหล่านี้ กระเป๋าเงินที่ดำเนินการที่ถูกเปิดเผยไม่มีอำนาจเหนือฟังก์ชันเหล่านี้

การแยกนี้เป็นไปตามหลักการที่โปรโตคอล DeFi ที่มีความเป็นผู้ใหญ่ได้ใช้กันมากขึ้น: ลดจำนวนกระเป๋าเงินที่มีสิทธิ์กว้าง กระเป๋าเงินที่ดำเนินการสามารถส่ง POL สำหรับรางวัลได้เท่านั้น; มันไม่สามารถมีปฏิสัมพันธ์กับยอดเงินของผู้ใช้, แก้ไขพารามิเตอร์ตลาด, หรือกระตุ้นการแก้ไข แม้ว่าโจรจะต้องการจัดการตลาด กระเป๋าเงินนี้ก็ไม่มีสิทธิ์ในการทำเช่นนั้น

สถานะปัจจุบันของการดำเนินงานและสภาพคล่องของแพลตฟอร์ม

ณ เวลาที่เขียน, Polymarket ทำงานได้อย่างเต็มที่ การแจกจ่ายรางวัลถูกระงับชั่วคราวในขณะที่ทีมหมุนเวียนกุญแจและนำกระเป๋าเงินใหม่มาใช้ แพลตฟอร์มยืนยันว่ารางวัลที่ค้างชำระจะได้รับการเคารพจากการจัดสรรเงินสำรองแยกต่างหาก

สภาพคล่องในตลาดหลัก รวมถึงตลาดการคาดการณ์ทางการเมืองของสหรัฐอเมริกาและสัญญาเหตุการณ์ระดับโลก ยังคงเสถียร ไม่มีการถอนเงินที่สำคัญเกิดขึ้นใน 48 ชั่วโมงหลังจากการเปิดเผย ซึ่งแสดงให้เห็นว่าชุมชนส่วนใหญ่ยอมรับคำอธิบายของ Polymarket และลักษณะที่ถูกควบคุมของการละเมิด

ผลกระทบด้านความปลอดภัยต่อตลาดการคาดการณ์แบบกระจายศูนย์

การแฮ็กนี้ตั้งคำถามที่กว้างขึ้นเกี่ยวกับวิธีที่ตลาดการคาดการณ์และแพลตฟอร์ม DeFi โดยทั่วไปจัดการกับความตึงเครียดระหว่างการกระจายศูนย์และความสะดวกในการดำเนินงาน Polymarket ทำงานในฐานะไฮบริด: กลไกตลาดหลักของมันทำงานบนสัญญาอัจฉริยะ แต่ฟังก์ชันสนับสนุนต่างๆ (รางวัล, การวิเคราะห์, การสนับสนุนลูกค้า) ขึ้นอยู่กับโครงสร้างพื้นฐานที่เป็นศูนย์กลางมากขึ้น

โมเดลไฮบริดนี้เป็นเรื่องปกติใน DeFi ในปี 2026 การดำเนินงานที่กระจายศูนย์ทั้งหมดยังคงไม่เหมาะสมสำหรับแพลตฟอร์มที่ต้องการดึงดูดผู้ใช้ทั่วไป ปฏิบัติตามข้อบังคับเช่น MiCA ในยุโรป และรักษาประสบการณ์ผู้ใช้ที่แข่งขันได้ การแลกเปลี่ยนคือส่วนประกอบที่เป็นศูนย์กลางซึ่งนำไปสู่จุดล้มเหลวที่เป็นศูนย์กลาง

ความเสี่ยงของกระเป๋าเงินที่ดำเนินการแบบรวมศูนย์

กระเป๋าเงินใดๆ ที่ควบคุมโดยกุญแจส่วนตัวเดียวถือเป็นเป้าหมาย โปรโตคอลความปลอดภัยของตลาดการคาดการณ์ที่ควบคุมสัญญาอัจฉริยะที่มุ่งหน้าไปยังผู้ใช้จะไม่ขยายไปยังกระเป๋าเงินที่ดำเนินการเหล่านี้ เว้นแต่ทีมจะออกแบบให้ชัดเจน ช่องทางการโจมตีทั่วไป ได้แก่:

• เครื่องของนักพัฒนาที่ถูกเปิดเผยหรือสภาพแวดล้อมคลาวด์ที่เก็บกุญแจ
• การโจมตีฟิชชิ่งที่มุ่งเป้าไปที่สมาชิกในทีมที่มีการเข้าถึงกระเป๋าเงิน
• ภัยคุกคามจากภายในจากพนักงานปัจจุบันหรืออดีต
• การโจมตีห่วงโซ่อุปทานต่อซอฟต์แวร์การจัดการกุญแจ

เหตุการณ์ Polymarket ยังไม่ได้ถูกระบุว่าเกิดจากช่องทางใดช่องทางหนึ่ง แต่แพลตฟอร์มระบุว่าการสอบสวนกำลังดำเนินอยู่โดยความช่วยเหลือจากบริษัทความปลอดภัยภายนอก

แนวทางปฏิบัติที่ดีที่สุดในการลดความเสี่ยงจากกระเป๋าเงินร้อน

แนวทางหลายประการสามารถลดความเสี่ยงและผลกระทบจากการเปิดเผยกระเป๋าเงินร้อนได้:

• ใช้กระเป๋าเงินมัลติซิกสำหรับที่อยู่ใดๆ ที่ถือมูลค่าที่สำคัญ แม้แต่กระเป๋าเงินที่ดำเนินการ
• กำหนดขีดจำกัดการใช้จ่ายที่จำกัดจำนวนเงินที่ธุรกรรมใดๆ หรือช่วงเวลาใดๆ สามารถเคลื่อนย้ายได้
• หมุนเวียนกุญแจตามกำหนดการปกติและหลังจากการเปลี่ยนแปลงบุคลากร
• เก็บกุญแจกระเป๋าเงินร้อนในโมดูลความปลอดภัยฮาร์ดแวร์ แทนที่จะใช้โซลูชันที่ใช้ซอฟต์แวร์
• ติดตามการไหลออกในเวลาจริงด้วยการแจ้งเตือนอัตโนมัติที่ปรับแต่งเพื่อจับปัญหาที่ผิดปกติ

Polymarket ได้ระบุว่าจะนำมาตรการหลายประการเหล่านี้ไปใช้สำหรับกระเป๋าเงินที่ดำเนินการใหม่ รวมถึงข้อกำหนดมัลติซิกและขีดจำกัดการใช้จ่ายต่อธุรกรรม

การติดตามอย่างต่อเนื่องและขั้นตอนการแก้ไขในอนาคต

การตอบสนองของ Polymarket ต่อการเปิดเผยกุญแจส่วนตัวของกระเป๋าเงินคริปโตนี้มีความโปร่งใสเป็นส่วนใหญ่ ซึ่งตั้งเป็นบรรทัดฐานที่ดี แพลตฟอร์มได้ให้คำมั่นว่าจะเผยแพร่โพสต์มอร์ตัมเต็มรูปแบบภายใน 30 วัน รวมถึงสาเหตุที่แท้จริงของการเปิดเผยกุญแจ, ไทม์ไลน์ที่ละเอียด, และขั้นตอนการแก้ไขเฉพาะที่กำลังดำเนินการ

ระบบนิเวศตลาดการคาดการณ์ที่กว้างขึ้นควรให้ความสนใจ ขณะที่แพลตฟอร์มเช่น Polymarket, Kalshi และผู้เข้ามาใหม่แข่งขันกันเพื่อแย่งชิงส่วนแบ่งตลาด เหตุการณ์ด้านความปลอดภัยจะมีอิทธิพลต่อความไว้วางใจของผู้ใช้และการรับรู้ของหน่วยงานกำกับดูแลมากขึ้น การละเมิดที่จัดการได้ดี โดยมีการเปิดเผยอย่างรวดเร็ว การสื่อสารที่ชัดเจน และการควบคุมที่พิสูจน์ได้ สามารถเสริมสร้างความน่าเชื่อถือของแพลตฟอร์มได้จริง การละเมิดที่จัดการได้ไม่ดี โดยมีการล่าช้า, การปกปิด, หรือการสูญเสียของผู้ใช้ สามารถเป็นอันตรายถึงชีวิต

สำหรับผู้ใช้ ข้อสรุปนั้นชัดเจน: เข้าใจว่าเงินของคุณนั่งอยู่ที่ไหน หากมันอยู่ในสัญญาอัจฉริยะที่มีโค้ดที่ตรวจสอบแล้วและไม่มีการเข้าถึงผู้ดูแลระบบด้วยกุญแจเดียว คุณอยู่ในกลุ่มความเสี่ยงที่แตกต่างจากถ้ามันอยู่ในกระเป๋าเงินที่ควบคุมโดยแล็ปท็อปของคนคนหนึ่ง ถามคำถาม อ่านรายงานการตรวจสอบ และให้ความสนใจกับนักวิเคราะห์บนบล็อกเชน เช่น Bubblemaps ที่ยกธง เพราะพวกเขามักจะเห็นปัญหาก่อนที่แพลตฟอร์มจะทำได้