Nhà điều tra on-chain ZachXBT đã phát hiện một sự cố nghi ngờ rò rỉ khóa riêng tư vào ngày 22/5, dẫn đến việc rút khoảng 600.000 USD từ một ví liên kết với Polymarket trên Polygon. Kẻ tấn công đã thực hiện các giao dịch khoảng 5.000 POL mỗi 20-30 giây trước khi khóa được thay đổi. Josh Stevens, Phó giám đốc kỹ thuật Polymarket, xác nhận nguồn rò rỉ là một khóa riêng tư sáu năm tuổi gắn với ví top-up nội bộ, không ảnh hưởng đến hợp đồng thông minh hoặc số dư người dùng. Sự khác biệt này quan trọng vì cách thức rút tiền quyết định rủi ro đối với cá nhân hay tổ chức.
Đây không phải là lỗ hổng hợp đồng thông minh của Polymarket mà là vấn đề rò rỉ khóa ở cấp tài khoản, tương tự như cách người dùng tự lưu trữ trên Polygon nắm giữ tài sản. Vì vậy, sự cố này có ý nghĩa tham khảo quan trọng trong thực tiễn bảo mật.
Phát hiện của ZachXBT và những dấu hiệu on-chain
Cảnh báo đầu tiên của ZachXBT vào ngày 22/5 nhắm vào hợp đồng UMA CTF Adapter trên Polygon, được Polymarket dùng để quyết toán thị trường với UMA oracle. Báo cáo ban đầu ước tính tổn thất khoảng 520.000 USD (POL và USDC.e), nhanh chóng tăng lên hơn 600.000 USD khi các giao dịch tự động tiếp tục diễn ra theo chu kỳ 20-30 giây.
Mẫu hình di chuyển tài sản đồng đều này là dấu hiệu rõ rệt: kẻ tấn công sử dụng script tự động, tức là đã có quyền ký giao dịch, đặc trưng của việc rò rỉ khóa riêng thay vì lỗi logic hợp đồng.
Phản hồi từ đội kỹ thuật Polymarket xác nhận hợp đồng không bị ảnh hưởng, sự cố chỉ liên quan tới ví top-up dùng cho hoạt động nội bộ. Báo cáo từ CoinDesk khẳng định tiền của người dùng không bị ảnh hưởng. CryptoSlate bổ sung rằng khóa bị rò rỉ đã cũ khoảng sáu năm, trước khi các biện pháp bảo mật hiện tại của Polymarket được triển khai.
ZachXBT là một nhà điều tra on-chain độc lập, không thuộc lực lượng pháp luật hay nội bộ Polymarket. Vai trò của anh là phân tích các giao dịch bất thường và cảnh báo cộng đồng trước khi nền tảng bị ảnh hưởng lên tiếng. Kết luận chính thức từ Polymarket được đưa ra khoảng 5 giờ sau cảnh báo ban đầu.
Cách thức lưu trữ tài sản trên tài khoản Polymarket
Nhiều người nghĩ Polymarket là nền tảng dự đoán tập trung với tài khoản tương tự sàn giao dịch, nhưng thực tế gần giống một DEX on-chain với giao diện thân thiện.
Mỗi người dùng Polymarket đều sở hữu một tài khoản sở hữu riêng (EOA) trên Polygon, tương tự ví MetaMask. Người dùng nạp USDC.e từ Ethereum hoặc Polygon vào EOA này, các giao dịch đặt cược là các lệnh ký vào hợp đồng UMA CTF Adapter, còn rút là giao dịch ký ngược lại. Giao diện Polymarket giúp đơn giản hóa quá trình ký xác nhận, nhưng thực tế tài khoản và khóa riêng vẫn thuộc về người dùng.
Điều này khiến sự cố ngày 22/5 có bản chất giống nhiều vụ rút tiền trái phép quy mô nhỏ khác trên Polygon. Ví top-up nội bộ của Polymarket cũng là EOA giữ POL và USDC.e. Khi khóa riêng bị lộ, kẻ tấn công có toàn quyền như chính tổ chức. Không có lỗi hợp đồng nào vì hợp đồng thực hiện đúng chức năng: xác nhận các giao dịch đã ký từ địa chỉ giữ tiền.
Điều này đặc biệt quan trọng với người dùng, vì các vị thế lớn cũng lưu trên EOA tương tự, ký bằng cùng loại khóa. Nếu nội bộ Polymarket để lộ khóa sáu năm tuổi, bản thân mỗi người cần kiểm tra lại các biện pháp bảo mật khóa cá nhân.
Ý nghĩa tự bảo vệ với tài khoản Polymarket có giá trị lớn
Các tài khoản Polymarket cỡ lớn đều minh bạch. Địa chỉ ví liên kết các vị thế lớn trên thị trường bầu cử Mỹ 2024 từng được công khai, nhiều địa chỉ còn giữ số dư đáng kể. Với các công cụ phân tích chuỗi, ai cũng có thể tổng hợp danh sách EOA giá trị cao, kẻ tấn công cũng vậy.
Mô hình tấn công từ 2025 đến 2026 không thay đổi: bộ kit phishing giả mạo email/giao diện Polymarket, tiện ích mở rộng trình duyệt độc hại chặn lệnh ký, hay dùng email liên kết với ví nhúng để dò mật khẩu. Thường, toàn bộ tài sản bị rút chỉ qua một giao dịch, trước khi người dùng phát hiện.
| Loại tài khoản | Mô hình lưu trữ | Rủi ro thực tế |
|---|---|---|
| Vị thế Polymarket qua ví nhúng | EOA, khóa do ứng dụng quản lý | Phishing, extension độc hại, lộ thiết bị |
| Vị thế Polymarket qua ví ngoài (MetaMask) | EOA, khóa tự người dùng quản lý | Lộ seed phrase, lạm dụng quyền ký, dApp giả |
| Ví vận hành nội bộ Polymarket | EOA do tổ chức quản lý | Khóa cũ, truy cập nội bộ, hạ tầng rò rỉ (trường hợp 22/5) |
Nhìn chung, nếu ai đó lấy được khóa riêng Polygon của bạn, họ có thể truy cập mọi tài sản trên địa chỉ đó, bao gồm cả vị thế Polymarket và USDC.e. Không có cơ chế hỗ trợ nào để đảo ngược giao dịch đã ký, cũng không có bảo hiểm tương đương FDIC trên Polygon. Trong sự cố ngày 22/5, các hợp đồng vẫn hoạt động đúng chức năng, nghĩa là nền tảng cũng không thể can thiệp nếu chính bạn bị tấn công.
Kiểm tra gì với tài khoản Polymarket của bạn ngay bây giờ
Ba bước kiểm tra sau nên thực hiện trong 10 phút, bất kể giá trị vị thế:
Đảm bảo email liên kết ví nhúng sử dụng mật khẩu riêng biệt và bật 2FA. Việc dùng lại mật khẩu cũ là nguyên nhân phổ biến nhất khiến tài khoản EOA bị xâm nhập. Tham khảo bài viết bảo mật để kiểm tra toàn diện.
Xem lại danh sách hợp đồng đã cấp quyền trên địa chỉ Polymarket. Mở explorer Polygon và kiểm tra tất cả hợp đồng đã cấp quyền. Thu hồi quyền đối với hợp đồng không nhận diện được. Các quyền cũ từ dApp không còn dùng là điểm yếu tiềm tàng mà ít ai để ý.
Chuyển vị thế có giá trị lớn sang quy trình ký bằng ví cứng. Polymarket có thể sử dụng ví ngoài thay ví nhúng mặc định. Ví cứng yêu cầu xác nhận vật lý mỗi lần ký, giúp loại trừ rủi ro bị lộ khóa từ xa như trường hợp Polymarket gặp phải.
Với tài khoản giữ hơn vài nghìn USD, nên coi ví nhúng như ví nóng, còn vị thế lớn nên chuyển qua ví cứng. Cách tách biệt này cũng được khuyến nghị cho cả giao dịch spot lẫn DeFi.
Câu hỏi thường gặp
Sự cố Polymarket ngày 22/5 có phải hack hợp đồng thông minh không?
Không. Cả Polymarket lẫn ZachXBT xác nhận hợp đồng UMA CTF Adapter hoạt động đúng thiết kế, sự cố do rò rỉ khóa riêng của ví nội bộ, không phải lỗi code hay oracle.
Tiền của người dùng Polymarket hiện có rủi ro không?
Tiền trong tài khoản cá nhân người dùng không bị ảnh hưởng bởi sự cố ngày 22/5. Ví bị xâm phạm là địa chỉ nội bộ của Polymarket. Mỗi EOA của người dùng được bảo vệ riêng, đồng nghĩa mỗi người chịu trách nhiệm với khóa của chính mình.
Kẻ tấn công thường lấy tiền tài khoản Polymarket bằng cách nào?
Các hình thức phổ biến gồm: trang web phishing giả giao diện đăng nhập Polymarket, extension trình duyệt độc hại, lộ seed phrase qua ảnh chụp, backup cloud hoặc lỗ hổng trình quản lý mật khẩu. Tấn công trực tiếp vào hợp đồng cá nhân rất hiếm.
Khoản lỗ 600.000 USD có thể thu hồi không?
Polymarket đã thay khóa bị lộ trong vài giờ, ngăn việc rút thêm. Tuy nhiên, việc thu hồi POL và USDC.e đã mất gần như không thể nếu không có sự can thiệp của pháp luật, vì tài sản on-chain chuyển về địa chỉ self-custody thì nền tảng không thể phục hồi.
Kết luận
Sự cố Polymarket là lời nhắc rằng điểm yếu lớn nhất trong bảo mật trên Polygon là khóa riêng, không phải giao thức. ZachXBT phát hiện vụ rút 600.000 USD từ ví nội bộ, Polymarket xác nhận nguyên nhân do khóa cũ, hợp đồng thực hiện đúng chức năng được thiết lập. Mô hình rủi ro này hiện diện ở tất cả tài khoản người dùng, do đó, 24 giờ tới là thời điểm phù hợp để kiểm tra lại quyền đã cấp, thay đổi thông tin đăng nhập trùng lặp và chuyển vị thế lớn sang ví cứng. Nền tảng đã thay khóa trong vòng 5 giờ, phần còn lại phụ thuộc vào người dùng.
Bài viết này chỉ nhằm cung cấp thông tin và không phải là lời khuyên tài chính hay đầu tư. Giao dịch tiền điện tử tiềm ẩn nhiều rủi ro. Luôn tự nghiên cứu trước khi quyết định giao dịch.
