Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายใน – เงินของผู้ใช้ยังปลอดภัย
Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายในในปี 2026 ผ่านการเปิดเผยกุญแจส่วนตัว ขณะที่เงินของผู้ใช้ยังคงปลอดภัยจากการแยกสัญญาอัจฉริยะ

สรุปด่วน
สรุปสร้างโดย AI ตรวจสอบโดยห้องข่าว
Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายในที่ดำเนินการเมื่อวันที่ 14 มิถุนายน 2026 ซึ่งเกิดจากการเปิดเผยกุญแจส่วนตัว ไม่ใช่การโจมตีสัญญาอัจฉริยะ
บริษัทวิเคราะห์ข้อมูลบนบล็อกเชน Bubblemaps เป็นผู้ตรวจพบการโอนเงินอัตโนมัติที่น่าสงสัยของโทเคน POL ซึ่งเผยให้เห็นรูปแบบการระบายที่มีโครงสร้าง
ผู้โจมตีได้เคลื่อนย้ายประมาณ 230,000 POL (~115,000 ดอลลาร์) โดยใช้ธุรกรรมที่มีการตั้งเวลาและการเชื่อมต่อบางส่วนเพื่อปกปิดเงิน
เงินของผู้ใช้ยังคงปลอดภัยเนื่องจากสถาปัตยกรรมสัญญาอัจฉริยะของ Polymarket และการแยกออกจากกระเป๋าเงินที่ดำเนินการ
เมื่อวันที่ 14 มิถุนายน 2026, Polymarket ยืนยันการแฮ็กกระเป๋าเงินภายในที่สร้างความตื่นตระหนกในชุมชนตลาดการคาดการณ์ การละเมิดนี้ถูกชี้ให้เห็นเป็นครั้งแรกโดยบริษัทวิเคราะห์ข้อมูลบนบล็อกเชน Bubblemaps ซึ่งเกี่ยวข้องกับการโอนเงินอัตโนมัติที่น่าสงสัยจากกระเป๋าเงินที่ดำเนินการซึ่งเชื่อมโยงกับระบบรางวัลของแพลตฟอร์ม Polymarket ได้ดำเนินการอย่างรวดเร็วเพื่อชี้แจงว่าเงินของผู้ใช้ยังคงปลอดภัย โดยระบุว่าเหตุการณ์นี้เกิดจากการถูกเปิดเผยกุญแจส่วนตัว ไม่ใช่ข้อบกพร่องในสัญญาอัจฉริยะหลักของแพลตฟอร์ม ความแตกต่างนี้มีความสำคัญอย่างมาก: ความเปราะบางของสัญญาอัจฉริยะจะเป็นภัยคุกคามต่อทุกดอลลาร์ในแพลตฟอร์ม ในขณะที่กระเป๋าเงินที่ดำเนินการถูกเปิดเผย แม้ว่าจะร้ายแรง แต่ก็ถือเป็นปัญหาที่ถูกควบคุม สำหรับผู้ที่ติดตามภัยคุกคามด้านความปลอดภัยของแพลตฟอร์มการเงินแบบกระจายศูนย์ที่พัฒนาไปในเวลาจริง เหตุการณ์นี้เสนอกรณีศึกษาอันมีค่าเกี่ยวกับวิธีที่ตลาดการคาดการณ์สมัยใหม่จัดการกับความล้มเหลวด้านความปลอดภัย ว่ามีอะไรที่ทำได้ดี และสิ่งใดที่ยังต้องแก้ไข
การค้นพบ: การแจ้งเตือนของ Bubblemaps และการไหลออกอัตโนมัติ
สัญญาณสาธารณะครั้งแรกไม่ได้มาจาก Polymarket เอง แต่เป็นจาก Bubblemaps เครื่องมือการมองเห็นบนบล็อกเชนที่ติดตามกลุ่มกระเป๋าเงินและการไหลของโทเคนในหลายเครือข่าย ระบบการแจ้งเตือนอัตโนมัติของพวกเขาได้ชี้ให้เห็นถึงรูปแบบของการไหลออกจากที่อยู่ที่รู้จักซึ่งเชื่อมโยงกับ Polymarket บนเครือข่าย Polygon ซึ่งกระตุ้นให้เกิดการตรวจสอบจากชุมชนความปลอดภัยของคริปโตในวงกว้าง
ภายในไม่กี่ชั่วโมง นักวิจัยอิสระได้ยืนยันการค้นพบนี้ กระเป๋าเงินที่เกี่ยวข้องถูกระบายออกอย่างเป็นระบบผ่านชุดของธุรกรรมที่เหมือนกัน โดยแต่ละรายการเคลื่อนย้ายจำนวนโทเคน POL ที่กำหนดในช่วงเวลาที่แน่นอน ความแม่นยำทางกลของการโอนเงินเป็นสัญญาณที่ชัดเจน: ไม่มีผู้ดำเนินการมนุษย์คนใดที่จะย้ายเงินในรูปแบบที่เข้มงวดและซ้ำซากเช่นนี้
การรู้จำรูปแบบ: การโอน POL จำนวน 5,000 ครั้งซ้ำๆ
ผู้โจมตีได้ดำเนินการโอนเงินจำนวน 5,000 POL ทุกๆ 12 นาทีเป็นระยะเวลาหลายชั่วโมง วิธีการดึงเงินแบบนี้เป็นกลยุทธ์ที่พบได้บ่อย แทนที่จะทำการถอนเงินจากกระเป๋าเงินในธุรกรรมขนาดใหญ่เพียงครั้งเดียวซึ่งจะกระตุ้นการแจ้งเตือนในทันทีและอาจถูกหยุดหรือแช่แข็ง ผู้โจมตีได้กระจายการขโมยออกไปในหลายธุรกรรมขนาดเล็ก
เมื่อ Bubblemaps แจ้งเตือน ประมาณ 230,000 POL (มีมูลค่าประมาณ 115,000 ดอลลาร์ในขณะนั้น) ได้ออกจากกระเป๋าเงินไปแล้ว ความสม่ำเสมอของจำนวนและเวลาชี้ให้เห็นอย่างชัดเจนว่ามีสคริปต์หรือบอทที่จัดการการดึงเงิน ไม่ใช่การถอนเงินด้วยมือ
การติดตามที่อยู่ของผู้โจมตีบนเครือข่าย Polygon
นักสืบบนบล็อกเชนได้ติดตามที่อยู่ที่รับเงินอย่างรวดเร็ว ที่อยู่ของผู้โจมตีไม่มีประวัติการทำธุรกรรมก่อนเกิดเหตุการณ์ ซึ่งเป็นเรื่องปกติของกระเป๋าเงินที่สร้างขึ้นใหม่ที่ใช้ในการโจมตี ความโปร่งใสของ Polygon หมายความว่าทุกขั้นตอนสามารถมองเห็นได้ต่อสาธารณะ แต่ความรวดเร็วของการดึงเงินและการปกปิดที่ตามมาทำให้การแทรกแซงในเวลาจริงเป็นเรื่องยาก บริษัทนิติวิทยาศาสตร์บล็อกเชน เช่น Chainalysis และ Arkham Intelligence เริ่มติดแท็กที่อยู่ที่เกี่ยวข้องภายใน 24 ชั่วโมง
แถลงการณ์อย่างเป็นทางการของ Polymarket: การเปิดเผยกระเป๋าเงินภายใน
การตอบสนองของ Polymarket เกิดขึ้นประมาณหกชั่วโมงหลังจากการแจ้งเตือนของ Bubblemaps แพลตฟอร์มได้เผยแพร่แถลงการณ์บน X (เดิมคือ Twitter) และบล็อกอย่างเป็นทางการของพวกเขายืนยันการละเมิดและให้รายละเอียดเบื้องต้น แถลงการณ์ระบุอย่างชัดเจนว่าไม่มียอดเงินของผู้ใช้, สถานะตลาด หรือกลไกการแก้ไขได้รับผลกระทบ Polymarket อธิบายเหตุการณ์นี้ว่าเป็น “การเปิดเผยกุญแจส่วนตัวของกระเป๋าเงินภายในที่ดำเนินการ” โดยวาดเส้นชัดเจนระหว่างการละเมิดนี้และความเปราะบางทางระบบในสถาปัตยกรรมของแพลตฟอร์ม
การเปิดเผยกุญแจส่วนตัว vs. ความเปราะบางของสัญญาอัจฉริยะ
ความแตกต่างนี้มีความสำคัญและควรเข้าใจอย่างชัดเจน ความเปราะบางของสัญญาอัจฉริยะหมายถึงโค้ดที่ควบคุมฟังก์ชันหลักของแพลตฟอร์ม (การฝาก, การถอน, การสร้างตลาด, การแก้ไข) มีข้อบกพร่องที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ข้อบกพร่องประเภทนี้สามารถทำให้โปรโตคอลทั้งหมดถูกระบายออก เราเห็นสิ่งนี้กับการแฮ็ก Euler Finance ในปี 2023 และการโจมตี Mango Markets ในปี 2022
การเปิดเผยกุญแจส่วนตัวนั้นแตกต่างอย่างสิ้นเชิง หมายความว่ามีคนเข้าถึงกุญแจเข้ารหัสที่ควบคุมกระเป๋าเงินเฉพาะหนึ่งใบ สัญญาอัจฉริยะของแพลตฟอร์มทำงานตามที่ออกแบบไว้; ปัญหาคือมีฝ่ายที่ไม่ได้รับอนุญาตเข้าถึงข้อมูลประจำตัวของที่อยู่เฉพาะหนึ่งที่อยู่ คิดซะว่าเป็นการขโมยกุญแจสำนักงานของผู้จัดการธนาคารกับการค้นหาข้อบกพร่องในกลไกล็อคของตู้นิรภัย ทั้งสองอย่างไม่ดี แต่ขอบเขตของความเสียหายแตกต่างกันอย่างมาก
การตรวจสอบสัญญาอัจฉริยะล่าสุดของ Polymarket ซึ่งดำเนินการโดย Trail of Bits ในต้นปี 2026 ไม่พบความเปราะบางที่สำคัญ ผลลัพธ์การตรวจสอบสัญญาอัจฉริยะของ Polymarket ยังคงมีความเกี่ยวข้องที่นี่เพราะยืนยันความสมบูรณ์ของโค้ดที่ควบคุมเงินของผู้ใช้จริงๆ
บทบาทของกระเป๋าเงินในการดำเนินการในรางวัล
กระเป๋าเงินที่ถูกเปิดเผยมีหน้าที่เฉพาะ: การแจกจ่ายรางวัลการขุดสภาพคล่องและแรงจูงใจส่งเสริมให้กับผู้ค้าแอคทีฟ มันถือโทเคน POL ที่กำหนดไว้สำหรับโปรแกรมเหล่านี้ ไม่ใช่ USDC หรือสเตเบิลคอยน์อื่นๆ ที่ใช้สำหรับสถานะตลาด
กระเป๋าเงินนี้ทำงานเป็นกระเป๋าเงินร้อน ซึ่งหมายความว่ากุญแจส่วนตัวของมันถูกเก็บไว้ในลักษณะที่อนุญาตให้มีการทำธุรกรรมอัตโนมัติและบ่อยครั้ง การแลกเปลี่ยนความปลอดภัยระหว่างกระเป๋าเงินร้อนกับการเก็บรักษาเย็นนั้นเป็นที่เข้าใจกันดีในอุตสาหกรรม: กระเป๋าเงินร้อนช่วยให้เกิดความเร็วและการทำงานอัตโนมัติ แต่มีความเสี่ยงสูงกว่าเพราะกุญแจของมันสามารถเข้าถึงได้จากระบบออนไลน์ การเก็บรักษาเย็นมีความปลอดภัยมากกว่า แต่ไม่เหมาะสมสำหรับการจ่ายเงินที่มีความถี่สูงและอัตโนมัติ ความจำเป็นในการออกแบบกระเป๋าเงินนี้คือสิ่งที่ทำให้มันมีความเสี่ยง
การประเมินผลกระทบและการรับประกันความปลอดภัยของผู้ใช้
ความเสียหายทางการเงินจากเหตุการณ์นี้ถูกควบคุมไว้ในระดับที่ค่อนข้างต่ำ โทเคน POL ที่ถูกขโมยประมาณ 115,000 ดอลลาร์นั้นเป็นเพียงสัดส่วนเล็กน้อยของมูลค่ารวมที่ล็อคไว้ของ Polymarket ซึ่งเกิน 480 ล้านดอลลาร์ในขณะเกิดเหตุการณ์ ปริมาณการซื้อขายรายวันของแพลตฟอร์มไม่ได้รับผลกระทบ และไม่มีตลาดใดถูกหยุดหรือรบกวน
สถาปัตยกรรมของ Polymarket มีบทบาทสำคัญในการจำกัดความเสียหาย แพลตฟอร์มแยกกระเป๋าเงินที่ดำเนินการออกจากโครงสร้างพื้นฐานของสัญญาอัจฉริยะที่ถือเงินฝากของผู้ใช้และจัดการผลลัพธ์ของตลาด การแยกนี้เป็นการเลือกออกแบบที่ตั้งใจ และมันได้ผลในที่นี้
การแยกเงินฝากของผู้ใช้และการแก้ไขตลาด
เงินของผู้ใช้บน Polymarket ถูกเก็บไว้ในสัญญาอัจฉริยะบน Polygon ซึ่งควบคุมโดยโค้ดของโปรโตคอล ไม่ใช่โดยกุญแจส่วนตัวเดียว การฝาก, การถอน, และการแก้ไขตลาดทั้งหมดดำเนินการผ่านสัญญาเหล่านี้ กระเป๋าเงินที่ดำเนินการที่ถูกเปิดเผยไม่มีอำนาจเหนือฟังก์ชันเหล่านี้
การแยกนี้เป็นไปตามหลักการที่โปรโตคอล DeFi ที่มีความเป็นผู้ใหญ่ได้ใช้กันมากขึ้น: ลดจำนวนกระเป๋าเงินที่มีสิทธิ์กว้าง กระเป๋าเงินที่ดำเนินการสามารถส่ง POL สำหรับรางวัลได้เท่านั้น; มันไม่สามารถมีปฏิสัมพันธ์กับยอดเงินของผู้ใช้, แก้ไขพารามิเตอร์ตลาด, หรือกระตุ้นการแก้ไข แม้ว่าโจรจะต้องการจัดการตลาด กระเป๋าเงินนี้ก็ไม่มีสิทธิ์ในการทำเช่นนั้น
สถานะปัจจุบันของการดำเนินงานและสภาพคล่องของแพลตฟอร์ม
ณ เวลาที่เขียน, Polymarket ทำงานได้อย่างเต็มที่ การแจกจ่ายรางวัลถูกระงับชั่วคราวในขณะที่ทีมหมุนเวียนกุญแจและนำกระเป๋าเงินใหม่มาใช้ แพลตฟอร์มยืนยันว่ารางวัลที่ค้างชำระจะได้รับการเคารพจากการจัดสรรเงินสำรองแยกต่างหาก
สภาพคล่องในตลาดหลัก รวมถึงตลาดการคาดการณ์ทางการเมืองของสหรัฐอเมริกาและสัญญาเหตุการณ์ระดับโลก ยังคงเสถียร ไม่มีการถอนเงินที่สำคัญเกิดขึ้นใน 48 ชั่วโมงหลังจากการเปิดเผย ซึ่งแสดงให้เห็นว่าชุมชนส่วนใหญ่ยอมรับคำอธิบายของ Polymarket และลักษณะที่ถูกควบคุมของการละเมิด
ผลกระทบด้านความปลอดภัยต่อตลาดการคาดการณ์แบบกระจายศูนย์
การแฮ็กนี้ตั้งคำถามที่กว้างขึ้นเกี่ยวกับวิธีที่ตลาดการคาดการณ์และแพลตฟอร์ม DeFi โดยทั่วไปจัดการกับความตึงเครียดระหว่างการกระจายศูนย์และความสะดวกในการดำเนินงาน Polymarket ทำงานในฐานะไฮบริด: กลไกตลาดหลักของมันทำงานบนสัญญาอัจฉริยะ แต่ฟังก์ชันสนับสนุนต่างๆ (รางวัล, การวิเคราะห์, การสนับสนุนลูกค้า) ขึ้นอยู่กับโครงสร้างพื้นฐานที่เป็นศูนย์กลางมากขึ้น
โมเดลไฮบริดนี้เป็นเรื่องปกติใน DeFi ในปี 2026 การดำเนินงานที่กระจายศูนย์ทั้งหมดยังคงไม่เหมาะสมสำหรับแพลตฟอร์มที่ต้องการดึงดูดผู้ใช้ทั่วไป ปฏิบัติตามข้อบังคับเช่น MiCA ในยุโรป และรักษาประสบการณ์ผู้ใช้ที่แข่งขันได้ การแลกเปลี่ยนคือส่วนประกอบที่เป็นศูนย์กลางซึ่งนำไปสู่จุดล้มเหลวที่เป็นศูนย์กลาง
ความเสี่ยงของกระเป๋าเงินที่ดำเนินการแบบรวมศูนย์
กระเป๋าเงินใดๆ ที่ควบคุมโดยกุญแจส่วนตัวเดียวถือเป็นเป้าหมาย โปรโตคอลความปลอดภัยของตลาดการคาดการณ์ที่ควบคุมสัญญาอัจฉริยะที่มุ่งหน้าไปยังผู้ใช้จะไม่ขยายไปยังกระเป๋าเงินที่ดำเนินการเหล่านี้ เว้นแต่ทีมจะออกแบบให้ชัดเจน ช่องทางการโจมตีทั่วไป ได้แก่:
- เครื่องของนักพัฒนาที่ถูกเปิดเผยหรือสภาพแวดล้อมคลาวด์ที่เก็บกุญแจ
- การโจมตีฟิชชิ่งที่มุ่งเป้าไปที่สมาชิกในทีมที่มีการเข้าถึงกระเป๋าเงิน
- ภัยคุกคามจากภายในจากพนักงานปัจจุบันหรืออดีต
- การโจมตีห่วงโซ่อุปทานต่อซอฟต์แวร์การจัดการกุญแจ
เหตุการณ์ Polymarket ยังไม่ได้ถูกระบุว่าเกิดจากช่องทางใดช่องทางหนึ่ง แต่แพลตฟอร์มระบุว่าการสอบสวนกำลังดำเนินอยู่โดยความช่วยเหลือจากบริษัทความปลอดภัยภายนอก
แนวทางปฏิบัติที่ดีที่สุดในการลดความเสี่ยงจากกระเป๋าเงินร้อน
แนวทางหลายประการสามารถลดความเสี่ยงและผลกระทบจากการเปิดเผยกระเป๋าเงินร้อนได้:
- ใช้กระเป๋าเงินมัลติซิกสำหรับที่อยู่ใดๆ ที่ถือมูลค่าที่สำคัญ แม้แต่กระเป๋าเงินที่ดำเนินการ
- กำหนดขีดจำกัดการใช้จ่ายที่จำกัดจำนวนเงินที่ธุรกรรมใดๆ หรือช่วงเวลาใดๆ สามารถเคลื่อนย้ายได้
- หมุนเวียนกุญแจตามกำหนดการปกติและหลังจากการเปลี่ยนแปลงบุคลากร
- เก็บกุญแจกระเป๋าเงินร้อนในโมดูลความปลอดภัยฮาร์ดแวร์ แทนที่จะใช้โซลูชันที่ใช้ซอฟต์แวร์
- ติดตามการไหลออกในเวลาจริงด้วยการแจ้งเตือนอัตโนมัติที่ปรับแต่งเพื่อจับปัญหาที่ผิดปกติ
Polymarket ได้ระบุว่าจะนำมาตรการหลายประการเหล่านี้ไปใช้สำหรับกระเป๋าเงินที่ดำเนินการใหม่ รวมถึงข้อกำหนดมัลติซิกและขีดจำกัดการใช้จ่ายต่อธุรกรรม
การติดตามอย่างต่อเนื่องและขั้นตอนการแก้ไขในอนาคต
การตอบสนองของ Polymarket ต่อการเปิดเผยกุญแจส่วนตัวของกระเป๋าเงินคริปโตนี้มีความโปร่งใสเป็นส่วนใหญ่ ซึ่งตั้งเป็นบรรทัดฐานที่ดี แพลตฟอร์มได้ให้คำมั่นว่าจะเผยแพร่โพสต์มอร์ตัมเต็มรูปแบบภายใน 30 วัน รวมถึงสาเหตุที่แท้จริงของการเปิดเผยกุญแจ, ไทม์ไลน์ที่ละเอียด, และขั้นตอนการแก้ไขเฉพาะที่กำลังดำเนินการ
ระบบนิเวศตลาดการคาดการณ์ที่กว้างขึ้นควรให้ความสนใจ ขณะที่แพลตฟอร์มเช่น Polymarket, Kalshi และผู้เข้ามาใหม่แข่งขันกันเพื่อแย่งชิงส่วนแบ่งตลาด เหตุการณ์ด้านความปลอดภัยจะมีอิทธิพลต่อความไว้วางใจของผู้ใช้และการรับรู้ของหน่วยงานกำกับดูแลมากขึ้น การละเมิดที่จัดการได้ดี โดยมีการเปิดเผยอย่างรวดเร็ว การสื่อสารที่ชัดเจน และการควบคุมที่พิสูจน์ได้ สามารถเสริมสร้างความน่าเชื่อถือของแพลตฟอร์มได้จริง การละเมิดที่จัดการได้ไม่ดี โดยมีการล่าช้า, การปกปิด, หรือการสูญเสียของผู้ใช้ สามารถเป็นอันตรายถึงชีวิต
สำหรับผู้ใช้ ข้อสรุปนั้นชัดเจน: เข้าใจว่าเงินของคุณนั่งอยู่ที่ไหน หากมันอยู่ในสัญญาอัจฉริยะที่มีโค้ดที่ตรวจสอบแล้วและไม่มีการเข้าถึงผู้ดูแลระบบด้วยกุญแจเดียว คุณอยู่ในกลุ่มความเสี่ยงที่แตกต่างจากถ้ามันอยู่ในกระเป๋าเงินที่ควบคุมโดยแล็ปท็อปของคนคนหนึ่ง ถามคำถาม อ่านรายงานการตรวจสอบ และให้ความสนใจกับนักวิเคราะห์บนบล็อกเชน เช่น Bubblemaps ที่ยกธง เพราะพวกเขามักจะเห็นปัญหาก่อนที่แพลตฟอร์มจะทำได้
อ้างอิง
ติดตามเราบน Google News
รับข้อมูลเชิงลึกและการอัปเดตคริปโตล่าสุด
โพสต์ที่เกี่ยวข้อง

ภายใน CRCL’s Social Media Buzz ความหมายสําหรับนักเทรด
Ayanfe Fakunle
Author

เหตุ ผล ที่ เซอร์เคิล เพิ่ง ได้ รับ การ อนุมัติ เพื่อ สร้าง ธนาคาร National Trust Bank ของ สหรัฐอเมริกา
Ayanfe Fakunle
Author

FCA เตือนประชาชนถึง 23 บริษัทคลอน ความหมายสําหรับผู้บริโภค
Ayanfe Fakunle
Author