はじめに
2026年6月14日、Polymarketは、運用報酬システムに影響する内部ウォレットのハッキングを裏付けた。オンチェーン分析企業Bubblemapsが最初に指摘したこの侵害では、プラットフォームの報酬配分に紐づくウォレットから、不審な自動送金が行われていた。Polymarketはユーザー資金は安全のままだと明らかにし、プラットフォームの中核となるスマートコントラクトの欠陥ではなく、秘密鍵の漏えいによるものだと説明した。違いは重要だ。スマートコントラクトの脆弱性ならプラットフォーム上のすべての1ドルが脅かされる一方、運用ウォレットが侵害された場合は問題が封じ込められたものになる。この一件は、現代の予測市場がセキュリティの失敗にどう対処し、侵害が起きたときに被害を制限するためのアーキテクチャ上の選択がどのように機能するかを示している。
発見:Bubblemapsの警告と自動的な流出
最初の公開シグナルはBubblemapsから出た。Bubblemapsは、複数のネットワークにわたってウォレットのクラスターやトークンの流れを監視するオンチェーン可視化ツールだ。同社の自動アラートシステムは、Polygonネットワーク上のPolymarket関連として知られるアドレスからの流出パターンを検知し、暗号資産セキュリティのより広いコミュニティから即座の精査を引き起こした。
数時間のうちに、独立した研究者がこの発見を裏付けた。ウォレットは、同一の一連の取引によって体系的に出金されていた。各取引では、一定間隔でPOLトークンが固定額ずつ動かされていた。送金の機械的な正確さは、自動実行を示唆していた。
パターン認識:反復する5,000 POL送金
攻撃者は、数時間にわたり、およそ12分ごとに正確に5,000 POLの送金を実行した。こうした小刻みな抽出(ドリップフィード)により、警告をすぐに発火させる単一の大口取引ではなく、数十のより小さな取引に盗難が分散される。
Bubblemapsが警報を上げた時点で、約230,000 POL(当時の価値で約$115,000)がウォレットから流出していた。金額とタイミングの一様さは、抽出を処理しているスクリプト、あるいはボットの存在を強く示していた。
Polygonネットワーク上で攻撃者アドレスを追跡
オンチェーンの捜査担当者は、受取アドレスを素早く特定した。攻撃者のアドレスは、事件前には取引履歴がなく、エクスプロイトに使われる新規に生成されたウォレットであることが典型的だった。ChainalysisやArkham Intelligenceといったブロックチェーン鑑識企業は、関連アドレスに対するタグ付けを24時間以内に開始した。
Polymarket公式声明:内部ウォレットの侵害
Polymarketの対応は、Bubblemapsの警告からおよそ6時間後に出た。プラットフォームはX(旧Twitter)と公式ブログで声明を公開し、侵害を確認した。声明では、ユーザーの残高、マーケットのポジション、解決メカニズムのいずれも影響を受けていないことを明確に述べた。Polymarketは今回の事象を「内部運用ウォレットの秘密鍵の侵害(private key compromise)」だと説明した。
秘密鍵の漏えい vs スマートコントラクトの脆弱性
スマートコントラクトの脆弱性とは、プラットフォームの中核機能を支配するコードに、攻撃者が悪用できる欠陥があることを意味する。秘密鍵の侵害とは、特定のウォレットを制御する暗号鍵へのアクセスを誰かが得たことを意味する。プラットフォームのスマートコントラクトは、設計どおりに機能していた。問題は、認可されていない第三者が、ある特定のアドレスの認証情報を入手した点にあった。
Trail of Bitsが2026年初めに実施したPolymarketの最新のスマートコントラクト監査では、重大な脆弱性は見つからなかった。これらの監査結果は、ユーザー資金を管理するコードの完全性を裏付けている。
報酬支払いにおける運用ウォレットの役割
侵害されたウォレットには、特定の機能があった。流動性マイニングの報酬や、活発なトレーダー向けのプロモーション・インセンティブを配布することだ。このウォレットは、マーケットポジションに使われるUSDCやその他のステーブルコインではなく、これらのプログラム用に確保されたPOLトークンを保有していた。
このウォレットはホットウォレットとして運用されており、秘密鍵が自動化された頻繁な取引を可能にする形で保存されていた。ホットウォレットはスピードと自動化を可能にする一方、鍵がオンラインのシステムから参照できるため、より高いリスクを伴う。
影響評価とユーザー安全性の安心
今回の事案による経済的な被害は、比較的限定的だった。盗まれたPOLの約$115,000は、侵害当時に$4億8000万超だったPolymarketの総ロック価値の一部にすぎない。プラットフォームの日次の取引量は影響を受けず、いかなるマーケットも停止されたり、混乱させられたりしなかった。
ユーザーの入金とマーケットの決済の分離
Polymarket上のユーザー資金はPolygon上のスマートコントラクト内で保管され、単一の秘密鍵ではなくプロトコルのコードによって管理されている。入金、出金、マーケットの解決はすべて、これらのコントラクトを通じて実行される。侵害された運用ウォレットには、これらの機能を行使する権限はなかった。
運用ウォレットは報酬のためにPOLを送ることしかできず、ユーザー残高に関与したり、マーケットのパラメータを変更したり、解決を発動したりすることはできなかった。
現在のプラットフォーム運用状況と流動性
執筆時点で、Polymarketは完全に稼働している。報酬の配布は一時的に停止されており、チームが鍵をローテーションし、代替ウォレットを導入した。プラットフォームは、ユーザーに未払いの報酬は別のトレジャリー配分から支払われると確認している。
U.S.の政治に関する予測マーケットやグローバルなイベントのコントラクトを含む主要マーケット全体の流動性は安定していた。開示後48時間の間に、目立った出金の急増は発生しなかった。
分散型予測市場にとってのセキュリティ上の示唆
このハッキングは、予測市場が分散化と運用の利便性の間にある緊張をどのように管理しているのか、という疑問を提起する。Polymarketはハイブリッドとして運営されている。中核となる市場メカニクスはスマートコントラクト上で動くが、支える機能はより従来型の中央集権的なインフラに依存している。
中央集権的な運用ウォレットのリスク
単一の秘密鍵で制御されるウォレットは、標的になる。よくある攻撃経路としては、開発者の端末が侵害されることや、鍵が保存されるクラウド環境、ウォレット権限を持つチームメンバーを狙うフィッシング攻撃、インサイダーによる脅威、そして鍵管理ソフトウェアに対するサプライチェーン攻撃などが挙げられる。
Polymarketの今回の事案は、まだ特定の経路に起因するとされていない。ただし、プラットフォームは外部セキュリティ企業の協力を得て調査が進行中だと述べている。
ホットウォレットの露出リスクを抑えるためのベストプラクティス
いくつかの取り組みによって、ホットウォレット侵害のリスクと影響を減らせる:
- 重要な価値を保持するアドレス(運用用のものでも)にはマルチシグウォレットを使う
- 支出上限を設け、単一の取引や一定の期間に移動できる金額を制限する
- 定期的に、また人員変更の後に鍵をローテーションする
- ホットウォレットの鍵はソフトウェアベースの解決策ではなく、ハードウェア・セキュリティ・モジュールに保管する
- 異常なパターンを検知するよう調整した自動アラートで、流出をリアルタイムに監視する
Polymarketは、代替の運用ウォレットについて、マルチシグ要件や取引ごとの支出上限を含む複数の対策を導入することを示している。
継続的な監視と今後の是正措置
Polymarketは30日以内に、鍵漏えいの根本原因、詳細な時系列、実装されている具体的な是正手順を含む完全なポストモーテムを公開することを約束した。
プラットフォームの対応は概ね透明性が高く、前向きな前例を作っている。PolymarketやKalshiのようなプラットフォームが市場シェアを競う中で、セキュリティ上のインシデントは、ユーザーの信頼や規制当局の認識にますます影響を与えるだろう。迅速な開示、明確なコミュニケーション、そして実証可能な封じ込めで適切に対処された侵害は、プラットフォームの信頼性を強化し得る。
