บทนำ
วันที่ 14 มิถุนายน 2026 Polymarket ยืนยันการถูกแฮ็กกระเป๋าเงินภายใน ส่งผลต่อระบบรางวัลสำหรับการดำเนินงานของแพลตฟอร์ม การรั่วไหลครั้งนี้ ซึ่งครั้งแรกถูกแจ้งเตือนโดยบริษัทวิเคราะห์ข้อมูลบนเชน Bubblemaps เกี่ยวข้องกับการโอนอัตโนมัติที่น่าสงสัยออกจากกระเป๋าเงินซึ่งเชื่อมโยงกับการจ่ายรางวัลของแพลตฟอร์ม Polymarket ชี้แจงว่าทรัพย์สินของผู้ใช้ยังปลอดภัย โดยสาเหตุเป็นการรั่วไหลของคีย์ส่วนตัว ไม่ใช่ข้อบกพร่องในระบบสัญญาอัจฉริยะหลัก ความแตกต่างนี้มีความสำคัญ: ช่องโหว่ในสัญญาอัจฉริยะจะคุกคามเงินทุกดอลลาร์บนแพลตฟอร์ม ขณะที่กระเป๋าเงินสำหรับการดำเนินงานที่ถูกบุกรุกเป็นปัญหาที่จำกัดวง ทั้งเหตุการณ์นี้ยังแสดงให้เห็นว่าตลาดพยากรณ์แบบสมัยใหม่จัดการกับความล้มเหลวด้านความปลอดภัยอย่างไร และการออกแบบสถาปัตยกรรมช่วยจำกัดความเสียหายเมื่อเกิดการบุกรุก
การค้นพบ: Bubblemaps ส่งสัญญาณเตือน และการไหลออกอัตโนมัติ
สัญญาณสาธารณะชุดแรกมาจาก Bubblemaps ซึ่งเป็นเครื่องมือแสดงภาพข้อมูลบนเชนที่ติดตามกลุ่มกระเป๋าเงินและการไหลของโทเค็นข้ามหลายเครือข่าย ระบบแจ้งเตือนแบบอัตโนมัติของพวกเขาตรวจพบรูปแบบการไหลออกจากที่อยู่ที่ทราบว่าเกี่ยวข้องกับ Polymarket บนเครือข่าย Polygon จึงทำให้เกิดการตรวจสอบอย่างเร่งด่วนจากชุมชนความปลอดภัยทางคริปโตที่กว้างขึ้น
ภายในเวลาไม่กี่ชั่วโมง นักวิจัยอิสระยืนยันผลดังกล่าว กระเป๋าเงินถูกระบายออกอย่างเป็นระบบผ่านชุดธุรกรรมที่เหมือนกันหลายรายการ โดยแต่ละรายการโอนโทเค็น POL จำนวนคงที่ในช่วงเวลาสม่ำเสมอ ความแม่นยำเชิงกลของการโอนบ่งชี้ถึงการดำเนินการแบบอัตโนมัติ
การจดจำรูปแบบ: การโอน POL ซ้ำ 5,000 ครั้ง
ผู้โจมตีทำการโอนด้วยจำนวนที่เท่ากันคือ 5,000 POL ประมาณทุกๆ 12 นาที ตลอดช่วงหลายชั่วโมง การดึงเงินแบบหยดๆ นี้ทำให้การโจรกรรมกระจายไปตามธุรกรรมย่อยจำนวนมาก แทนที่จะเป็นธุรกรรมขนาดใหญ่ครั้งเดียวซึ่งจะกระตุ้นการแจ้งเตือนทันที
เมื่อ Bubblemaps ยกเลิกการแจ้งเตือนแล้ว ประมาณ 230,000 POL (มีมูลค่าประมาณ $115,000 ในช่วงเวลานั้น) ได้ออกจากกระเป๋าเงินไปแล้ว ความสม่ำเสมอของจำนวนเงินและจังหวะเวลาแสดงให้เห็นอย่างชัดเจนว่าเป็นสคริปต์หรือบอทที่จัดการการดึงเงิน
การติดตามที่อยู่ผู้โจมตีบนเครือข่าย Polygon
นักสืบเชิงบล็อกเชนติดตามที่อยู่ปลายทางได้อย่างรวดเร็ว ที่อยู่ของผู้โจมตีไม่มีประวัติธุรกรรมมาก่อนเหตุการณ์ ซึ่งเป็นรูปแบบที่พบได้ทั่วไปของกระเป๋าเงินที่สร้างขึ้นใหม่เพื่อใช้ในการโจมตี กองกำลังนิติวิทยาศาสตร์บนบล็อกเชน รวมถึง Chainalysis และ Arkham Intelligence เริ่มติดป้ายระบุที่อยู่ที่เกี่ยวข้องภายใน 24 ชั่วโมง
แถลงการณ์อย่างเป็นทางการของ Polymarket: การรั่วไหลของกระเป๋าเงินภายใน
การตอบสนองของ Polymarket เกิดขึ้นประมาณ 6 ชั่วโมงหลังการแจ้งเตือนจาก Bubblemaps แพลตฟอร์มเผยแพร่แถลงการณ์บน X (ชื่อเดิม Twitter) และบนบล็อกอย่างเป็นทางการเพื่อยืนยันการถูกละเมิด แถลงการณ์ระบุอย่างชัดเจนว่าไม่มีผลกระทบต่อยอดคงเหลือของผู้ใช้ สถานะในตลาด หรือกลไกการชี้ขาด Polymarket อธิบายเหตุการณ์นี้ว่าเป็น "การรั่วไหลของคีย์ส่วนตัวของกระเป๋าเงินสำหรับการดำเนินงานภายใน"
คีย์ส่วนตัวรั่วไหล vs ช่องโหว่ของสัญญาอัจฉริยะ
ช่องโหว่ของสัญญาอัจฉริยะหมายความว่าโค้ดที่ควบคุมฟังก์ชันหลักของแพลตฟอร์มมีข้อบกพร่องที่ผู้โจมตีสามารถใช้ประโยชน์ได้ ส่วนการรั่วไหลของคีย์ส่วนตัวหมายถึงมีใครบางคนเข้าถึงคีย์เชิงเข้ารหัสที่ควบคุมกระเป๋าเงินเฉพาะใบหนึ่ง สัญญาอัจฉริยะของแพลตฟอร์มทำงานได้ตามที่ออกแบบไว้ทุกประการ ปัญหาคือฝ่ายที่ไม่ได้รับอนุญาตได้รับข้อมูลรับรองเพื่อใช้เข้าถึงที่อยู่เพียงที่อยู่เดียว
การตรวจสอบสัญญาอัจฉริยะครั้งล่าสุดของ Polymarket ซึ่งดำเนินการโดย Trail of Bits ในช่วงต้นปี 2026 ไม่พบช่องโหว่ระดับวิกฤต ผลการตรวจสอบเหล่านี้ยืนยันความถูกต้องของโค้ดที่ควบคุมเงินของผู้ใช้
บทบาทของกระเป๋าเงินสำหรับการดำเนินงานในการจ่ายรางวัล
กระเป๋าเงินที่ถูกบุกรุกมีหน้าที่เฉพาะ: กระจายรางวัลการทำเหมืองสภาพคล่องและแรงจูงใจเชิงโปรโมชั่นให้แก่นักเทรดที่ใช้งานอยู่ มันถือโทเค็น POL ที่กันไว้สำหรับโปรแกรมเหล่านี้ ไม่ใช่ USDC หรือเหรียญเสถียรอื่นที่ใช้สำหรับสถานะในตลาด
กระเป๋าเงินนี้ทำงานแบบ hot wallet หมายความว่าคีย์ส่วนตัวถูกเก็บในรูปแบบที่ทำให้เกิดธุรกรรมแบบอัตโนมัติและบ่อยครั้ง Hot wallet ช่วยเพิ่มความเร็วและทำให้กระบวนการอัตโนมัติได้ แต่มีความเสี่ยงสูงกว่าเพราะคีย์เข้าถึงได้จากระบบออนไลน์
การประเมินผลกระทบและการยืนยันความปลอดภัยของผู้ใช้
ความเสียหายทางการเงินจากเหตุการณ์นี้อยู่ในวงจำกัดค่อนข้างมาก POL ที่ถูกขโมยประมาณ $115,000 แสดงถึงสัดส่วนเล็กน้อยของมูลค่าที่ล็อกทั้งหมดของ Polymarket ซึ่งเกิน $480 ล้านในขณะที่เกิดการละเมิด ปริมาณการเทรดรายวันของแพลตฟอร์มไม่ได้รับผลกระทบ และไม่มีตลาดใดถูกหยุดหรือถูกรบกวน
การแยกส่วนเงินฝากของผู้ใช้และการชี้ขาดของตลาด
เงินของผู้ใช้บน Polymarket จะถูกเก็บไว้ในสัญญาอัจฉริยะบน Polygon โดยควบคุมด้วยโค้ดของโปรโตคอล ไม่ได้ขึ้นกับคีย์ส่วนตัวของผู้ใดรายหนึ่ง การฝาก ถอน และการชี้ขาดของตลาดทั้งหมดดำเนินการผ่านสัญญาเหล่านี้ กระเป๋าเงินสำหรับการดำเนินงานที่ถูกบุกรุกไม่มีอำนาจเหนือฟังก์ชันเหล่านี้
กระเป๋าเงินสำหรับการดำเนินงานส่งได้เฉพาะ POL สำหรับรางวัลเท่านั้น ไม่สามารถโต้ตอบกับยอดคงเหลือของผู้ใช้ ปรับเปลี่ยนพารามิเตอร์ของตลาด หรือเรียกการชี้ขาดได้
สถานะปัจจุบันของการดำเนินงานแพลตฟอร์มและสภาพคล่อง
ณ เวลาที่เขียนบทความนี้ Polymarket ทำงานได้เต็มรูปแบบ การแจกจ่ายรางวัลถูกหยุดชั่วคราวในช่วงทีมหมุนเวียนคีย์ (rotate) และนำกระเป๋าเงินสำรองมาใช้งาน แพลตฟอร์มยืนยันว่ารางวัลคงค้างที่ค้างอยู่กับผู้ใช้จะได้รับการชำระจากการจัดสรรกองทุน (treasury) อีกส่วนหนึ่ง
สภาพคล่องในตลาดหลักๆ รวมถึงตลาดการเมืองสหรัฐแบบพยากรณ์ และสัญญาเหตุการณ์ทั่วโลก ยังคงเสถียร ไม่พบการพุ่งขึ้นอย่างมีนัยสำคัญของคำขอถอนใน 48 ชั่วโมงหลังการเปิดเผย
นัยด้านความปลอดภัยสำหรับตลาดพยากรณ์แบบกระจายอำนาจ
แฮ็กครั้งนี้ทำให้เกิดคำถามเกี่ยวกับวิธีที่ตลาดพยากรณ์จัดการแรงตึงระหว่างความเป็นกระจายอำนาจกับความสะดวกในการปฏิบัติการ Polymarket ทำงานแบบไฮบริด: กลไกหลักของตลาดทำงานบนสัญญาอัจฉริยะ แต่ฟังก์ชันสนับสนุนกลับพึ่งพาโครงสร้างพื้นฐานแบบดั้งเดิมที่รวมศูนย์มากกว่า
ความเสี่ยงของกระเป๋าเงินสำหรับการดำเนินงานแบบรวมศูนย์
กระเป๋าเงินใดๆ ที่ควบคุมด้วยคีย์ส่วนตัวเพียงคีย์เดียวคือเป้าหมาย ความเสี่ยงที่พบบ่อย ได้แก่ เครื่องคอมพิวเตอร์ของนักพัฒนาที่ถูกบุกรุกหรือสภาพแวดล้อมคลาวด์ที่เก็บคีย์ไว้ การฟิชชิงที่กำหนดเป้าหมายสมาชิกทีมที่มีสิทธิ์เข้าถึงกระเป๋าเงิน ภัยคุกคามจากคนในองค์กร และการโจมตีห่วงโซ่อุปทานต่อซอฟต์แวร์จัดการคีย์
เหตุการณ์ของ Polymarket ยังไม่ได้ถูกระบุว่าเกิดจากช่องทางใดช่องทางหนึ่งโดยเฉพาะ แม้แพลตฟอร์มจะระบุว่ากำลังทำการสืบสวนร่วมกับบริษัทความปลอดภัยภายนอก
###แนวปฏิบัติที่ดีที่สุดในการลดความเสี่ยงจากการเปิดเผยของ hot wallet
หลายแนวปฏิบัติสามารถลดความเสี่ยงและผลกระทบจากการถูกบุกรุก hot wallet ได้:
- ใช้กระเป๋าเงินแบบ multisig สำหรับที่อยู่ใดๆ ที่ถือมูลค่าอย่างมีนัยสำคัญ แม้จะเป็นงานด้านปฏิบัติการก็ตาม
- กำหนดวงเงินการใช้จ่ายเพื่อจำกัดจำนวนที่ธุรกรรมเดียวหรือช่วงเวลาใดช่วงเวลาหนึ่งสามารถเคลื่อนย้ายได้
- หมุนเวียนคีย์ตามตารางประจำ และหลังการเปลี่ยนแปลงบุคลากรทุกครั้ง
- เก็บคีย์ของ hot wallet ไว้ใน hardware security modules แทนโซลูชันที่เป็นซอฟต์แวร์
- ติดตามการไหลออกแบบเรียลไทม์ด้วยการแจ้งเตือนอัตโนมัติที่ปรับให้ตรวจจับรูปแบบที่ผิดปกติได้
Polymarket ระบุว่าจะนำมาตรการหลายอย่างเหล่านี้มาใช้กับกระเป๋าเงินสำหรับการดำเนินงานชุดทดแทน รวมถึงการกำหนดข้อกำหนด multisig และการจำกัดวงเงินการใช้จ่ายต่อธุรกรรม
การเฝ้าติดตามอย่างต่อเนื่องและขั้นตอนการแก้ไขในอนาคต
Polymarket ให้คำมั่นว่าจะเผยแพร่รายงานสรุปหลังเหตุการณ์ (post-mortem) ฉบับเต็มภายใน 30 วัน ซึ่งรวมถึงสาเหตุรากเหง้าของการรั่วไหลของคีย์ ไทม์ไลน์โดยละเอียด และขั้นตอนการแก้ไขเฉพาะที่กำลังดำเนินการ
การตอบสนองของแพลตฟอร์มส่วนใหญ่มีความโปร่งใส ทำเป็นแบบอย่างเชิงบวก ในขณะที่แพลตฟอร์มอย่าง Polymarket และ Kalshi แข่งขันเพื่อแย่งส่วนแบ่งตลาด เหตุการณ์ด้านความปลอดภัยจะยิ่งมีบทบาทในการกำหนดความเชื่อมั่นของผู้ใช้และการรับรู้ของหน่วยงานกำกับดูแล การจัดการการละเมิดได้ดีด้วยการเปิดเผยอย่างรวดเร็ว สื่อสารอย่างชัดเจน และแสดงให้เห็นถึงการจำกัดความเสียหายได้อย่างเป็นรูปธรรม สามารถเสริมความน่าเชื่อถือของแพลตฟอร์มได้
