Polymarket đã phải đối mặt với điều mà nhiều người dùng cho là một cuộc tấn công có thể xảy ra vào ngày 22 tháng 5, sau khi các cảnh báo công khai mô tả tình trạng rút nhanh POL trên nền tảng thị trường dự đoán. Các tài khoản liên kết với Polymarket sau đó cho biết sự cố này không phải là một cuộc khai thác hợp đồng thông minh và không ảnh hưởng đến tiền của người dùng cũng như việc giải quyết thị trường.
Làn sóng lo ngại đầu tiên xuất phát từ nhà điều tra on-chain ZachXBT và công ty phân tích blockchain Bubblemaps. ZachXBT cho biết một địa chỉ quản trị của Polymarket dường như đã bị xâm phạm trên Polygon, với hơn 520.000 USD bị rút sạch tại thời điểm anh ấy đưa ra cảnh báo trên Telegram.
Sau đó, Bubblemaps cảnh báo rằng những kẻ tấn công đang rút 5.000 POL cứ khoảng 30 giây một lần và đến nay đã có khoảng 600.000 USD bị đánh cắp, đồng thời khuyến cáo người dùng tạm dừng hoạt động trên Polymarket.
Giải thích sau đó của Polymarket đã chuyển vấn đề khỏi thất bại của thị trường cốt lõi sang một vi phạm bảo mật vận hành nội bộ. Các phát hiện chỉ ra rằng khóa riêng của một ví được sử dụng cho “hoạt động nạp tiền nội bộ,” theo các Nhà phát triển Polymarket, chứ không phải “các hợp đồng hoặc cơ sở hạ tầng cốt lõi.”
Kỹ sư phần mềm của Polymarket, Shantikiran Chanal, cũng tương tự cho biết,, “Tiền của người dùng và việc giải quyết thị trường vẫn an toàn,” đồng thời bổ sung rằng vấn đề này liên quan đến các báo cáo chi trả phần thưởng.
Điều này ngụ ý những rủi ro khác nhau. Một thất bại trong hợp đồng hoặc giải quyết sẽ đặt câu hỏi về việc liệu các thị trường có thể thanh toán đúng cách hay không, hoặc liệu vị thế của người dùng có bị lộ hay không. Một vụ xâm phạm ví nạp tiền nội bộ, dù vẫn nghiêm trọng, lại chỉ ra vấn đề về quản lý khóa, dịch vụ nạp tiền và các biện pháp kiểm soát vận hành xung quanh các ví hỗ trợ nền tảng.
[
Bài đọc liên quan
Crypto tìm thấy thị trường sản phẩm 64 tỷ USD vào năm 2025 nhưng sự phụ thuộc vào đăng nhập tập trung đã tạo ra một lỗ hổng bảo mật nghiêm trọng
Việc áp dụng rộng rãi các thị trường dự đoán đặt ra những thách thức về niềm tin hệ thống và làm nổi bật những mâu thuẫn trong cơ chế giải quyết cho các nền tảng tiền mã hóa.
11 tháng 2, 2026 · Oluwapelumi Adejumo
Cảnh báo công khai diễn ra nhanh hơn cả lời giải thích về việc xâm phạm khóa riêng
Dòng thời gian diễn ra rất nhanh chóng. Bài đăng trên Telegram của ZachXBT lúc 08:22 UTC mô tả một địa chỉ quản trị của Polymarket dường như đã bị xâm phạm trên Polygon và xác định địa chỉ của kẻ tấn công là 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
Bài đăng tương tự liệt kê các địa chỉ liên quan và bị rút sạch, giúp các nhà phân tích on-chain có dấu vết để theo dõi.
Bubblemaps khuếch đại cảnh báo lúc 08:51 UTC, mô tả tình hình như một cuộc khai thác hợp đồng của Polymarket—loại cảnh báo khai thác Polymarket vốn gây lo ngại ngay lập tức về cơ sở hạ tầng cốt lõi—và cho biết kẻ tấn công đang rút 5.000 POL mỗi 30 giây.
Dữ liệu on-chain cho thấy tại sao cảnh báo này lại thu hút sự chú ý. Một giao dịch trên PolygonScan lúc 09:01:19 UTC cho thấy 5.000 POL đang chuyển vào một địa chỉ quản trị UMA CTF được gắn nhãn Polymarket.
Bảy giây sau, một giao dịch PolygonScan khác cho thấy 4.999,994 POL di chuyển từ địa chỉ quản trị được gắn nhãn đó sang địa chỉ kẻ tấn công cũng được gắn nhãn. Trang địa chỉ kẻ tấn công được PolygonScan gắn thẻ là "Polymarket Adapter Exploiter 1" và hiển thị các lần chuyển tiền lặp lại trong khoảng thời gian cảnh báo.
Cặp giao dịch này hỗ trợ mô hình rút tiền rõ ràng từng kích hoạt cảnh báo công khai và đưa ra ví dụ cụ thể về dòng chuyển tiền mà các thành viên đội Polymarket sau đó mô tả là liên quan đến một người nạp tiền nội bộ, đồng thời để nguyên nhân gốc cho các tuyên bố của đội.
| Câu hỏi | Cảnh báo ban đầu | Giải thích liên quan đến Polymarket |
|---|---|---|
| Điều gì đang xảy ra? | Bubblemaps cảnh báo rằng 5.000 POL đang bị rút đi cứ khoảng 30 giây một lần. | Các tuyên bố của đội liên quan đến báo cáo chi trả phần thưởng hoặc hoạt động nạp tiền nội bộ. |
| Có phải là một cuộc khai thác hợp đồng? | Bubblemaps ban đầu mô tả đây là một cuộc khai thác hợp đồng của Polymarket. | Các tài khoản liên quan đến Polymarket cho biết các phát hiện không liên quan đến hợp đồng hay cơ sở hạ tầng cốt lõi. |
| Tiền của người dùng có bị ảnh hưởng không? | Cảnh báo đầu tiên khuyên người dùng tạm dừng hoạt động. | Shantikiran Chanal và các Nhà phát triển Polymarket cho biết tiền của người dùng và việc giải quyết thị trường vẫn an toàn. |
| Còn điều gì chưa được giải quyết? | Ước tính thiệt hại thực tế vào thời điểm cảnh báo của Bubblemaps là khoảng 600.000 USD. | Số tiền thiệt hại cuối cùng, danh sách đầy đủ các địa chỉ bị ảnh hưởng và chi tiết khắc phục vẫn chưa được xác định. |
[
Bài đọc liên quan
Sự ra mắt stablecoin của Polymarket có vẻ tiêu cực đối với USDC, nhưng sự thay đổi thực sự sâu sắc hơn
Mã thông báo mới của Polymarket có thể không làm giảm nhu cầu USDC, nhưng nó có thể khiến nhu cầu đó khó nhận diện hơn và dễ bị hiểu sai.
7 tháng 4, 2026 · Andjela Radmilac
](https://cryptoslate.com/polymarket-usd-stablecoin-impact-on-usdc-demand/)
Các tuyên bố của đội chỉ ra một vụ xâm phạm khóa riêng của Polymarket
Văn bản chính thức rõ ràng nhất đến từ tài khoản Nhà phát triển Polymarket, nơi coi sự cố này là một vụ xâm phạm khóa riêng của Polymarket liên quan đến một ví được sử dụng cho các hoạt động nạp tiền nội bộ.
Cách diễn đạt này đưa sự cố ra khỏi phạm vi của một lỗ hổng hợp đồng thông minh trực tiếp và chuyển sang một câu hỏi mang tính vận hành hơn: ai đã kiểm soát khóa, làm thế nào nó bị lộ, và tại sao quá trình bị ảnh hưởng lại tiếp tục gửi POL đến một địa chỉ có thể bị rút sạch.
Tuyên bố của Chanal sử dụng ngôn ngữ tương tự, nói rằng các báo cáo liên quan đến chi trả phần thưởng và các phát hiện chỉ ra một vụ xâm phạm khóa riêng của một ví được sử dụng cho các hoạt động nội bộ. Trong các phản hồi với người dùng, Chanal khẳng định các ví “hoàn toàn an toàn” và cho biết đội đang điều tra các hệ thống backend và bí mật đồng thời xoay vòng các khóa.
Mustafa, một nguồn tin khác liên quan đến Polymarket, đưa ra lời giải thích trực tiếp nhất về sự khác biệt giữa các hợp đồng. Anh ấy nói rằng “Hợp đồng CTF không bị khai thác,” đồng thời cho biết vấn đề liên quan đến một địa chỉ vận hành nội bộ được sử dụng bởi một dịch vụ kiểm tra và nạp tiền vài giây một lần.
Anh ấy cũng khẳng định tất cả tiền của người dùng đều an toàn và địa chỉ này đang được xoay vòng.
Tài liệu của Polymarket tự giải thích rõ hơn về tầm quan trọng của sự khác biệt này. Nền tảng này cho biết các thị trường sử dụng UMA để giải quyết và các vị thế thắng sẽ được quy đổi sau khi giải quyết thông qua các cơ chế liên quan đến CTF.
[
Bài đọc liên quan
Polymarket đối mặt khủng hoảng uy tín lớn sau khi cá voi ép bỏ phiếu 'YES' UFO mà không có bằng chứng
Những nhà giao dịch đêm muộn đã mua kèo ở mức 99 xu ngay trước khi một cuộc bỏ phiếu lấy trọng số token lật ngược ý kiến chung, phơi bày lỗ hổng lớn trong các thị trường "sự thật".
10 tháng 12, 2025 · Liam ‘Akiba’ Wright
Tài liệu CTF của nó mô tả các mã thông báo kết quả cho thị trường dự đoán và lưu ý rằng các cặp Yes/No đều được đảm bảo đầy đủ. Trên nền tảng đó, một thất bại trực tiếp trong cơ sở hạ tầng CTF hoặc giải quyết sẽ đặt ra những câu hỏi khác so với một ví bị xâm phạm được sử dụng cho phần thưởng hoặc nạp tiền nội bộ.
Các tuyên bố của đội đã biết đặt vấn đề ra ngoài phạm vi cơ sở hạ tầng giải quyết thị trường cốt lõi. Chúng để ngỏ câu hỏi về bảo mật vận hành.
Khóa riêng là lớp quyền hạn cho các ví blockchain, và một khóa nội bộ bị xâm phạm vẫn có thể chuyển tiền, gây hoảng loạn công khai và làm lộ ra những điểm yếu trong giám sát hoặc dòng tiền tự động ngay cả khi số dư giao dịch của người dùng và việc thanh toán thị trường không phải mục tiêu.
Cập nhật tiếp theo cần xác định rõ số tiền thiệt hại và chi tiết khắc phục
Hiện tại, đội Polymarket nói với người dùng rằng sự cố chỉ giới hạn trong các hoạt động nội bộ, nghĩa là tiền của người dùng Polymarket, các hợp đồng cốt lõi và quy trình giải quyết thị trường đều nằm ngoài con đường bị ảnh hưởng.
Câu hỏi còn lại là bao nhiêu tiền thực sự bị mất và điều gì đã thay đổi sau khi đội phát hiện ra khóa bị xâm phạm.
Số liệu đầu tiên mà ZachXBT công bố là hơn 520.000 USD bị rút sạch. Sau đó, Bubblemaps cho biết khoảng 600.000 USD đã bị đánh cắp tại thời điểm cảnh báo của họ.
Các trang on-chain cho thấy một chuỗi chuyển tiền tiêu biểu, nhưng hồ sơ công khai hiện tại vẫn chưa xác định rõ số tiền thiệt hại cuối cùng đã được kiểm toán, danh sách đầy đủ các địa chỉ bị ảnh hưởng và tình trạng phục hồi.
Theo dõi vận hành cũng quan trọng không kém. Các tuyên bố liên quan đến Polymarket cho biết địa chỉ bị ảnh hưởng đang được xoay vòng và đội đang điều tra các hệ thống backend và bí mật.
Điều này đặt ra nhiều câu hỏi còn bỏ ngỏ: liệu việc xoay vòng đã hoàn tất chưa, liệu bất kỳ thông tin đăng nhập nào của dịch vụ nạp tiền liên quan có bị lộ hay không, liệu ví bị xâm phạm có quyền hạn vượt quá các giao dịch đã quan sát được hay không, và liệu nền tảng có công bố báo cáo sự cố giải thích nguyên nhân thất bại hay không.
Đối với các nhà giao dịch, bài học thực tiễn là văn bản công khai ban đầu dường như đã phóng đại góc độ khai thác hợp đồng dựa trên các tuyên bố sau này của đội Polymarket. Việc rút tiền nội bộ vẫn là một sự cố bảo mật, đặc biệt đối với một nền tảng mà người dùng phụ thuộc vào sự tách biệt rõ ràng giữa các ví vận hành, hệ thống phần thưởng và cơ sở hạ tầng thị trường.
Cho đến khi Polymarket đưa ra cập nhật cuối cùng, đội đã nói với người dùng rằng tiền của họ và việc giải quyết thị trường vẫn an toàn, trong khi hồ sơ chuỗi công khai cho thấy một đợt rút POL nhanh chóng từ cơ sở hạ tầng được gắn nhãn Polymarket.
Công bố tiếp theo cần nêu rõ số tiền thiệt hại cuối cùng, xác nhận việc xoay vòng địa chỉ và giải thích điều gì đã thay đổi sau khi một khóa riêng của Polymarket biến một ví nội bộ thành tâm điểm của cảnh báo rút tiền sống.
Bài viết Polymarket chịu cảnh rút tiền POL sống khi đội bác bỏ khả năng khai thác hợp đồng đáng lo ngại xuất hiện lần đầu trên CryptoSlate.