ポリマーケットのエクスプロイト:30秒ごとに5,000 POLが消費される
攻撃者はPolymarketから60万ドル以上を盗み出し、Polygon上のUMA CTF Adapterスマートコントラクトを攻撃しました。オンチェーン調査員のZachXBTがこのエクスプロイトを検知し、攻撃者のウォレットアドレスを0x8F98075db5d6C620e8D420A8c516E2F2059d9B91と特定しました。
ZachXBTはまず自身のTelegramチャンネルで緊急警報を発令し、続いてBubblemapsがPolymarketの損失が60万ドルに迫る中、ユーザーに対しPolymarketでのすべての取引を一時停止するよう警告しました。
対象となるコントラクトであるUMA CTFアダプタは、Polymarketの予測市場がUMAのオプティミスティックオラクルを介して決済できるようにするカスタム統合レイヤーです。これはUMAの監査済みコアプロトコルの一部ではありません。
Polymarketの脆弱性攻撃の仕組み:スマートコントラクトの脆弱性
UMA CTFアダプタは、Polymarketが独自に作成・展開した統合コードであり、UMAの標準的なコントラクトではありません。UMAの公式ドキュメントにも明記されているように、プロトコルインテグレーターはオプティミスティックオラクル上に独自のアダプタコントラクトを構築しており、それらのアダプタにはプロジェクト固有のロジックと信頼に関する前提条件が含まれており、UMAのセキュリティモデルの範囲外となっています。
この構造的なギャップこそが、Polymarketの脆弱性を突く好機となりました。CTFアダプタは、予測市場のポジションの決済方法や資金の流れを決定する、独自の経済システムとアクセス制御をエンコードしています。
Polymarketの中核となる取引所契約は、2021年から2022年にかけてChainSecurityによる正式なセキュリティ監査を受け、メインネット展開前に特定されたすべての重大な問題が対処されたと報告されました。この監査はUMA CTFアダプタを対象としていませんでしたが、今回のエクスプロイトは対象に含まれていました。
これはDeFiプラットフォームの失敗によく見られるパターンです。監査はレビューのために提出されたコンポーネントのみを対象とし、後から追加された統合レイヤーは対象としていません。
Polymarketにおけるオラクル関連リスクの歴史は、決して新しいものではありません。Polymarketのオラクルスタックに誤ったオフチェーンデータが投入された過去の事例、いわゆるパリ事件は、アダプターとオラクルの設計が、基本コントラクトが正しく機能するかどうかに関わらず、予測市場における体系的な弱点であることを示しました。
オンチェーンのフットプリントとデータが明らかにするもの
オンチェーンデータによると、攻撃者はアクティブな資金流出フェーズ中に30秒ごとに5,000個のPOLトークンを引き出しており、この引き出し頻度は、コントラクト呼び出しを繰り返す自動スクリプトの存在を示唆しています。Bubblemapsによると、アラートが発令された時点で攻撃者は約60万ドルを引き出しており、ZachXBTの試算では、確認された損失額は52万ドルを超えています。
攻撃後の行動は、初期段階のオンチェーン資金洗浄と一致しています。攻撃者は盗んだ資金を15個の別々のウォレットアドレスに分散させ、資金の流れを追跡しにくくし、凍結や回収の試みを遅らせるように設計された断片化パターンを採用しました。
本稿執筆時点では、分散された資金は15のアドレスに分散されたままであり、ミキサーやクロスチェーンブリッジへの移動は確認されていません。ZachXBTが発信元ウォレットを公開したことで、捜査当局は明確なオンチェーン上の出発点を得ることができましたが、15のアドレスに分散しているため、取引所の協力なしに資金を回収することは困難です。
