Polymarket、返金約束の数日後に約310万ドルのハッキング被害

Polymarketは、取引量で最大規模のブロックチェーン予測市場ですが、2026年6月25日にユーザー資産約310万ドル相当がフロントエンドのサプライチェーン攻撃によって流出しました。この損失額は、同プラットフォームが影響を受けたユーザーに全額返金を公に約束した数日後に上方修正されています。攻撃者はPolymarketのスマートコントラクト自体を突破したわけではなく、フロントエンドにコードを供給しているサードパーティのベンダーが侵害され、悪意のあるスクリプトがウェブサイトに挿入されました。これにより、11のユーザーウォレットが被害にあい、盗まれた資産はPolymarket独自のドル連動トークン（pUSD）から約1,893ETHに変換され、攻撃者が管理するアドレスに送金されました。

タイミングも問題となりました。過去5週間で2度目のセキュリティインシデントであり、返金の約束直後に被害額が上方修正されたことで信頼性への影響が指摘されています。本稿では、この事件の概要、タイミングの重要性、予測市場やDeFiプラットフォームにおけるカストディリスクについて解説します。

Polymarketハッキングの経緯

今回の攻撃はスマートコントラクトの脆弱性を突いたものではなく、サプライチェーンの侵害が原因でした。Polymarketのオンチェーン契約自体は正常に機能していましたが、ユーザーとコントラクトの間に位置するウェブ層が弱点となりました。フロントエンドコードを提供するサードパーティベンダーが侵害され、悪意あるスクリプトがウェブページに挿入されました。影響を受けたユーザーがサイトを読み込むと、そのスクリプトがブラウザ上で静かに実行され、ユーザーが意図せずウォレットの取引承認を促されました。署名は通常通りに見えるため、警戒を促すサインは現れませんでした。

攻撃の標的は、Polymarketのドル連動型ステーブルコイン「pUSD」でした。攻撃者は資産を奪取した後、pUSDをEthereumへ交換し、PolygonからEthereumメインネットへブリッジし、全てを1つのウォレットにまとめました。当初の被害額は約290万ドルと発表されていましたが、数日後、影響を受けたウォレットが追加で発見され、被害額は約310万ドルに修正されました。これは、返金を約束したタイミングで被害規模が小さいと見られていたため、信頼性の観点からマイナスとなる発表でした。

分かりやすく例えると、金庫自体が破られたのではなく、玄関のキーパッドが細工されていたため、通常の操作で知らずに資産を他人に送金してしまった状態です。つまり、ステーブルコインが自身のウォレットに入っていても流出しうるのです。コントラクトは機能していましたが、インターフェースが正しくありませんでした。

返金約束後のタイミングが重要な理由

Polymarketの対応は迅速でした。侵害が確認された後、チームは問題の依存関係を削除し、脆弱性を修正し、影響を受けたpUSD保有者を全額補償すると発表しました。この対応自体は妥当ですが、返金発表後に被害総額が290万ドルから310万ドルに増加したため、安心感が薄れる結果となりました。

プラットフォームの信頼は「約束」と「実際」の乖離で成り立っています。損失の補填を約束した後に被害額が増えれば、「310万ドルで確定か、それともまた増えるのか」という新たな不安を招きます。そのため、金額自体よりも不確実性の方が評判への影響が大きくなります。

さらに、Polymarketは「現実世界の出来事に対して安全に資産を預けられる場」としてマーケティングしてきましたが、信頼回復の声明直後に直接ユーザーが被害に遭う事案が発生したことで、その根幹が揺らいでいます。

Polymarketの最近のセキュリティおよび規制問題

今回の事例は単発ではありません。2026年5月22日には、オンチェーン調査員がCoinDeskのマーケット欄で報じたように、Polygon上の賞金支払い用内部ウォレットから約52万～70万ドルが流出しました。この攻撃は、6年間アクティブだった秘密鍵が原因とされます。この時はユーザー資産には影響がなく、チームも安全性を発表しましたが、2か月足らずで2度の侵害が起きたことになります。5月の件は従業員側インフラ、6月はユーザー側と、異なる攻撃面が標的となりました。

また、セキュリティ問題は規制当局からの注目が高まる中で発生しています。米商品先物取引委員会（CFTC）は、報酬付きインフルエンサーによる架空取引や誇張された収益を示す動画の公開など、Polymarketのマーケティング活動について調査を開始しました。2026年6月時点で1,100本以上の動画の多くが実際には架空の取引を紹介していたと報道されています。ジョン・カーティス上院議員とアダム・シフ上院議員は、CFTCに対し2026年7月10日までに回答を求める書簡を送付しました。

以下は主なタイムラインです。

影響を受けたユーザーが取るべき対応

流出が確認された11ウォレットに対し、PolymarketはpUSD額で全額補償を約束しています。攻撃を誘発した依存関係は削除されており、該当期間中に悪意あるプロンプトに署名していなければ資産は流出していません。攻撃には署名が必要だったため、承認しなかったウォレットは無事です。

盗まれた資産の回収は別問題です。現時点で1,893ETHは攻撃者アドレスから移動しておらず、調査機関や取引所のコンプライアンス部門も追跡しています。資産が凍結・返還されるかは、今後攻撃者の動き次第です。

その他のユーザーにとっては、「全ての署名要求を形式的ではなく重要な意思決定として捉える」ことが教訓です。プロンプトの内容を必ず確認しましょう。今回の被害者は特別不注意だったわけではなく、信頼していたインターフェース自体に問題がありました。これは全てのプラットフォームに共通する教訓です。

予測市場・DeFiのカストディ/セキュリティ面の教訓

今回の事件は、スマートコントラクト自体は問題なく、ウェブサイト層など周辺システムのリスクが引き金となりました。近年のDeFiハッキングやブリッジ攻撃でも同様の傾向が見られます。

本件に共通するポイントは以下の通りです。

• フロントエンドリスクは実質的なカストディリスク。契約が安全でも、ウェブインターフェースが侵害されていれば意味がありません。資産移動はユーザー承認で行われます。
• サードパーティ依存も攻撃対象。認知していないベンダーからのスクリプトもリスクになり得ます。
• ホットカストディは利便性と露出リスクのトレードオフ。ウェブアプリと接続されたウォレット資産は、アプリの依存関係の安全性に依存します。
• 署名時の確認（ハイジーン）は最後の防衛線。アドレス、トークン、金額の確認を徹底しましょう。
• 返金約束と資産回収は別問題。返金は損失補填ですが、侵害自体の修復や今後の追加発表までは保証されません。

以上は予測市場に限らず、ウェブサイト経由でウォレットを接続する全てのプラットフォームに共通しています。

よくある質問

Polymarketは安全ですか？

今回の事例ではスマートコントラクトが直接侵害されたわけではありませんが、約5週間で2度のセキュリティ事案がありました。チームは依存関係を修正し、返金を発表していますが、利用時は資産規模を適切に管理し、全ての署名要求を慎重に確認してください。

Polymarketで何が起こりましたか？

2026年6月25日、フロントエンドコードを提供するサードパーティベンダーが侵害され、Polymarketのサイトに悪意あるスクリプトが挿入されました。その結果、11のウォレットから約310万ドル相当（pUSD）が流出し、約1,893ETHに交換されて攻撃者管理アドレスに送金されました。

Polymarketはユーザーへ返金しますか？

Polymarketは影響を受けたpUSD保有者への全額返金を公表し、問題の依存関係を削除済みです。11ウォレットが対象です。盗まれたオンチェーン資産の回収は別プロセスとなります。

スマートコントラクトに問題がないのに、なぜハッキングされたのですか？

攻撃対象はブロックチェーン層でなくウェブサイト層でした。外部ベンダーの侵害で悪意あるスクリプトがフロントエンドに入り、ユーザーが知らずに承認したことで資産が流出しました。Polymarketの予測市場コントラクト自体は正常に動作していました。

まとめ

Polymarket流出はフロントエンドおよびサプライチェーンの失敗によるもので、被害総額は約310万ドルです。返金発表直後の被害額上方修正や、5月の別件、CFTC調査など、複数要素が信頼性に影響しています。今後は「被害額がさらに増えないか」「統合ETHが動くか」「新たな開示が出るか」に注目が集まります。どのプラットフォームでも、ウェブアプリや依存関係のリスク管理、署名内容の確認が最も重要です。また、ビットコインとはのようなセルフカストディ運用も理解しておくと良いでしょう。

本記事は情報提供のみを目的としており、金融・投資アドバイスではありません。暗号資産取引にはリスクが伴います。取引判断は必ずご自身でご検討ください。