Polymarket, nền tảng thị trường dự đoán blockchain lớn nhất theo khối lượng giao dịch, đã bị mất khoảng 3,1 triệu USD của người dùng do một cuộc tấn công bắt đầu từ ngày 25/6/2026. Con số thiệt hại được cập nhật tăng chỉ vài ngày sau khi nền tảng công bố sẽ hoàn tiền đầy đủ cho người dùng bị ảnh hưởng. Kẻ tấn công không xâm nhập vào các hợp đồng thông minh dùng để thanh toán cược trên Polymarket, mà thay vào đó đã lợi dụng lỗ hổng trên website qua một bên cung cấp mã nguồn phía giao diện (front-end), chèn mã độc vào trang web người dùng truy cập. 11 ví của người dùng bị rút hết tiền; số dư bị đánh cắp được chuyển đổi từ token neo giá USD của Polymarket sang khoảng 1.893 ETH, sau đó được chuyển đến các ví do kẻ tấn công kiểm soát.
Điều đáng chú ý là thời điểm xảy ra vụ việc. Đây là sự cố bảo mật thứ hai chỉ trong vòng hơn một tháng và cam kết hoàn tiền được đưa ra ngay sau khi có thông tin thiệt hại thực tế lớn hơn ban đầu. Dưới đây là chi tiết sự việc, lý do vì sao thời điểm xảy ra các sự kiện này lại quan trọng và những gì nó phản ánh về rủi ro lưu ký trên các nền tảng thị trường dự đoán cũng như DeFi nói chung.
Chi tiết vụ hack Polymarket
Cuộc tấn công là do chuỗi cung ứng (supply-chain), không phải lỗi hợp đồng thông minh. Các hợp đồng on-chain của Polymarket vẫn hoạt động bình thường. Điểm yếu nằm ở lớp giao diện web giữa người dùng và hợp đồng. Một bên cung cấp mã phía giao diện bị xâm nhập, giúp kẻ tấn công chèn mã độc vào trang web. Khi người dùng truy cập, mã này âm thầm chạy trên trình duyệt, khiến họ ký xác nhận giao dịch không mong muốn. Các giao dịch này trông rất bình thường nên không gây nghi ngờ.
Mục tiêu là pUSD, stablecoin neo giá USD của Polymarket (được bảo chứng bởi USDC). Sau khi kiểm soát số dư, kẻ tấn công chuyển đổi pUSD sang Ethereum, chuyển tiếp từ Polygon lên Ethereum chính và gom vào một ví duy nhất. Ước tính ban đầu là khoảng 2,9 triệu USD, sau đó được điều chỉnh lên 3,1 triệu USD khi kiểm tra thêm các ví liên quan—lý do khiến cam kết hoàn tiền có vẻ hơi vội vàng khi số liệu chưa đầy đủ.
Dễ hiểu hơn, có thể hình dung như sau: Kho bạc không bị phá. Ai đó đã sửa bàn phím bên ngoài, khiến bạn khi thực hiện thao tác thông thường thực chất đã lặng lẽ xác nhận chuyển tiền cho người lạ. Đó là lý do stablecoin trong ví của bạn vẫn có thể bị rút mà hợp đồng không bị xâm phạm.
Vì sao thời điểm sau cam kết hoàn tiền lại quan trọng
Polymarket phản ứng nhanh về truyền thông. Sau khi xác nhận lỗ hổng, đội ngũ đã loại bỏ thành phần bị xâm nhập, khắc phục lỗ hổng và cam kết hoàn tiền cho người nắm giữ pUSD. Đây là phản ứng phù hợp: thừa nhận vấn đề, khắc phục, đảm bảo quyền lợi người dùng. Tuy nhiên, trình tự xảy ra sự kiện lại là vấn đề: cam kết hoàn tiền đưa ra, sau đó con số thiệt hại tăng từ 2,9 lên 3,1 triệu USD—loại điều chỉnh dễ khiến cam kết trở nên thiếu chắc chắn.
Niềm tin vào một nền tảng giao dịch dựa trên khoảng cách giữa những gì đội ngũ cam kết và thực tế kiểm chứng. Khi công ty hứa bù lỗ nhưng sau đó khoản lỗ tăng lên, người dùng sẽ đặt câu hỏi: liệu 3,1 triệu USD đã là cuối cùng, hay sẽ tiếp tục tăng? Sự không chắc chắn này gây ảnh hưởng lớn hơn con số thiệt hại, bởi tài sản có thể bù đắp còn sự hoài nghi thì không.
Một hệ quả khác cần lưu ý: Polymarket quảng bá là nơi bạn dự đoán kết quả thực tế bằng tiền thật, dựa trên niềm tin rằng tài sản của bạn an toàn trong thời gian chờ kết quả. Việc mất tiền ngay sau một thông báo trấn an có thể làm suy giảm niềm tin cốt lõi này.
Chuỗi sự cố bảo mật và pháp lý gần đây của Polymarket
Đây không phải sự cố đơn lẻ. Ngày 22/5/2026, các nhà điều tra on-chain phát hiện một vụ việc khác (được CoinDesk đưa tin), khoảng 520.000 đến 700.000 USD bị rút từ các ví nội bộ chi trả giải thưởng trên Polygon. Nguyên nhân do một khóa riêng đã hoạt động suốt sáu năm. Lần đó, tiền của người dùng không bị ảnh hưởng và đội ngũ xác nhận số dư an toàn, tuy nhiên việc xảy ra hai vụ chỉ trong chưa đầy hai tháng cho thấy có xu hướng. Tháng 5, sự cố ảnh hưởng đến hạ tầng nội bộ; tháng 6, ảnh hưởng trực tiếp đến người dùng. Hai bề mặt tấn công nhưng cùng chung bài học về lỗ hổng quản lý.
Các sự cố bảo mật diễn ra giữa lúc Polymarket bị chú ý về mặt pháp lý. Uỷ ban Giao dịch Hàng hóa Tương lai Mỹ (CFTC) mở điều tra về hoạt động quảng bá, tập trung vào chiến dịch dùng các KOL mạng xã hội đăng video giao dịch mô phỏng, phóng đại lợi nhuận mà không công khai là được trả phí. Theo báo cáo tháng 6/2026, phần lớn hơn 1.100 video dạng này là đặt cược giả. Thượng nghị sĩ John Curtis và Adam Schiff đã gửi thư yêu cầu CFTC trả lời trước 10/7/2026.
Dưới đây là dòng thời gian tóm tắt:
Ngày | Sự kiện | Đối tượng ảnh hưởng |
| 22/5/2026 | Các ví nội bộ bị rút thông qua khóa riêng đã dùng 6 năm | Hoạt động nội bộ, không phải người dùng |
| 20/6/2026 | Phát hiện các video quảng bá sai lệch | Hình ảnh thương hiệu, pháp lý |
| 25/6/2026 | Hack chuỗi cung ứng phía giao diện, rút tiền người dùng | Người dùng trực tiếp |
| 26/6/2026 | Cam kết hoàn tiền cho người giữ pUSD bị ảnh hưởng | Người dùng liên quan |
| vài ngày sau | Điều chỉnh số thiệt hại lên 3,1 triệu USD | Người dùng liên quan |
| 10/7/2026 | CFTC yêu cầu phản hồi về điều tra quảng bá | Nền tảng, nhà quản lý |
Người dùng bị ảnh hưởng có thể kỳ vọng gì?
Với 11 ví bị rút tiền, chính sách là hoàn trả toàn bộ giá trị pUSD. Polymarket đã thông báo sẽ hoàn trả cho người bị ảnh hưởng và đã loại bỏ thành phần bên thứ ba bị xâm nhập. Nếu bạn giữ pUSD và không tương tác với thông báo giao dịch bất thường trong thời gian diễn ra vụ tấn công, tài sản của bạn không bị ảnh hưởng. Cuộc tấn công yêu cầu xác nhận ký giao dịch, nên các ví không xác nhận sẽ an toàn.
Việc thu hồi khoản tiền bị đánh cắp là vấn đề khác và mất thời gian hơn. Tính đến thời điểm gần nhất, số 1.893 ETH vẫn nằm trong ví của kẻ tấn công, giúp cơ quan điều tra và đội ngũ tuân thủ sàn giao dịch dễ dàng theo dõi trên chuỗi. Bạn có thể kiểm tra số dư trực tiếp trên các trình khám phá như Etherscan. Khả năng thu hồi hay đóng băng số tiền này phụ thuộc vào việc kẻ tấn công di chuyển khoản tiền như thế nào trong thời gian tới.
Đối với đa số người dùng khác, bài học quan trọng là về hành vi sử dụng ví. Hãy coi mỗi yêu cầu ký giao dịch là một quyết định chứ không chỉ là thủ tục. Đọc kỹ nội dung ví yêu cầu xác nhận. Người bị mất tiền không phải do bất cẩn, mà do giao diện đáng tin cậy bị lợi dụng. Đây là bài học áp dụng cho mọi nền tảng, không chỉ riêng Polymarket.
Bài học về lưu ký và an toàn trên thị trường dự đoán và DeFi
Thực tế không thoải mái của sự cố này là hợp đồng thông minh không bị phá vỡ. Phần lớn thảo luận về bảo mật trong lĩnh vực tiền điện tử tập trung vào kiểm toán hợp đồng và các lỗ hổng on-chain, nhưng ngày càng nhiều trường hợp mất tiền xuất phát từ lớp ngoài hợp đồng. Sự cố Polymarket là ví dụ điển hình, tương tự nhiều vụ hack DeFi và khai thác bridge gần đây, nơi điểm thất bại thường nằm ở "điểm nối" giữa các hệ thống.
Một vài nguyên tắc nổi bật từ các vụ việc kiểu này:
- Rủi ro phía giao diện thực chất là rủi ro lưu ký. Hợp đồng được kiểm toán cẩn thận cũng không giúp gì nếu website bị sửa đổi. Quyết định chuyển tiền nằm ở chữ ký bạn xác nhận, không phải chỉ ở mã hợp đồng.
- Phụ thuộc bên thứ ba là bề mặt tấn công. Một nhà cung cấp bạn không biết, với đoạn code bạn không thấy, có thể là cửa ngõ xâm nhập. Chuỗi cung ứng bị phá vỡ ở mắt xích yếu nhất.
- Lưu ký nóng trên mọi nền tảng là đánh đổi giữa tiện lợi và rủi ro. Tài sản trong ví kết nối với web app chỉ an toàn tương ứng với mức độ an toàn của app đó.
- Kiểm tra chữ ký là phòng tuyến cuối cùng của người dùng. Hãy xác minh địa chỉ hợp đồng, token, số lượng. Toàn bộ mô hình của kẻ tấn công dựa vào việc bạn không đọc kỹ thông báo.
- Cam kết hoàn tiền không đồng nghĩa đã thu hồi lại tài sản. Việc bồi thường giúp bạn hồi phục khoản lỗ, nhưng không ngăn sự cố, cũng không đảm bảo lần sau thiệt hại không tăng.
Những điều này không chỉ áp dụng cho thị trường dự đoán mà cho bất kỳ nền tảng nào bạn kết nối ví và xác nhận giao dịch qua web. Cơ chế đặt cược không thay đổi cách thức tài sản bị rút trộm.
Câu hỏi thường gặp
Polymarket có an toàn không?
Hợp đồng thông minh của Polymarket không bị khai thác trong sự cố này, nhưng nền tảng đã có hai vụ việc bảo mật trong hơn một tháng—một ảnh hưởng ví nội bộ, một ảnh hưởng người dùng. Đội ngũ đã khắc phục lỗ hổng và cam kết hoàn tiền, nhưng chuỗi sự cố nhắc nhở người dùng nên xem xét kỹ số dư để trên nền tảng và kiểm tra mọi yêu cầu ký giao dịch.
Chuyện gì đã xảy ra với Polymarket?
Ngày 25/6/2026, kẻ tấn công xâm nhập một bên cung cấp mã giao diện và chèn mã độc vào website Polymarket, làm thất thoát khoảng 3,1 triệu USD pUSD từ 11 ví người dùng. Số tiền được chuyển sang khoảng 1.893 ETH và chuyển sang mạng Ethereum, nằm trong ví do kẻ tấn công kiểm soát.
Polymarket có hoàn tiền cho người dùng không?
Polymarket đã tuyên bố sẽ hoàn trả đầy đủ cho những người nắm giữ pUSD bị ảnh hưởng và đã loại bỏ phụ thuộc vào bên thứ ba gây ra vụ việc này. Việc hoàn tiền áp dụng cho 11 ví bị ảnh hưởng, còn việc thu hồi tài sản trên chuỗi sẽ phụ thuộc vào khả năng đóng băng hoặc trả lại số ETH đã bị gom.
Vì sao vụ hack Polymarket xảy ra dù hợp đồng không bị khai thác?
Tấn công nhắm vào lớp website, không phải blockchain. Một nhà cung cấp mã giao diện bị xâm nhập, cho phép chèn mã độc khiến người dùng ký xác nhận giao dịch rút tiền, dù các hợp đồng thị trường dự đoán vẫn vận hành bình thường.
Tổng kết
Sự cố Polymarket là thất bại về lớp giao diện và chuỗi cung ứng khiến người dùng thiệt hại khoảng 3,1 triệu USD. Điều gây tổn hại lớn nhất không phải con số mà là trình tự sự kiện: cam kết hoàn tiền rồi sau đó nâng con số thiệt hại, cộng thêm sự cố tháng 5 và điều tra từ CFTC, khiến niềm tin bị ảnh hưởng lâu dài. Có ba điểm nên theo dõi tiếp: liệu con số 3,1 triệu USD có thay đổi, ETH tập trung có bị di chuyển và liệu nền tảng có tiếp tục công khai thêm sự cố nào nữa không. Bài học áp dụng rộng rãi: trên bất kỳ nền tảng nào bạn dùng ví để xác nhận qua web, rủi ro thực tế nằm ở website và các phụ thuộc, không chỉ ở hợp đồng; phòng tuyến bạn kiểm soát là đọc kỹ mọi xác nhận. Khi không chắc chắn, hãy hạn chế số dư trên mọi nền tảng web và tìm hiểu kỹ về tự lưu ký với các tài sản như Bitcoin trước khi cần sử dụng.
Bài viết này chỉ nhằm mục đích cung cấp thông tin, không phải là lời khuyên tài chính hay đầu tư. Giao dịch tiền điện tử tiềm ẩn nhiều rủi ro. Vui lòng tự tìm hiểu kỹ trước khi ra quyết định.
