Polymarket、サプライチェーン攻撃で約3億円（300万ドル）の損失——被害者には全額返金へ

約3億円（300万ドル）のサプライチェーン攻撃——何が起きたのか

2026年6月25日、暗号資産（仮想通貨）予測市場プラットフォーム「Polymarket（ポリマーケット）」は、大規模なサプライチェーン攻撃を受け、ユーザーから約300万ドル（約3億円）相当の資金を盗まれた。この事件は、ウォール・ストリート・ジャーナル（WSJ）が同社がクリエイターに金を払って偽の勝利動画を制作させていたと報じたわずか5日後に発生しており、セキュリティ上の重大な欠陥と倫理的な問題が重なる形となった。

ハッキングの手口——サプライチェーン攻撃の全容

攻撃者は、Polymarketのウェブサイトのフロントエンドを担当する身元不明のサードパーティベンダーを侵害した。そこから悪意のあるJavaScriptコードをPolymarketのフロントエンドに注入し、一部のユーザーを狙ったフィッシング詐欺を実行した。

主な技術的詳細は以下の通り：

• 標的：悪意のあるスクリプトは15未満のアカウントを標的にし、Bubblemapsのオンチェーンデータによれば少なくとも11のウォレットから資金が流出した。
• 盗まれた資産：盗まれたのはpUSD（PolymarketがPolygon上で発行するブリッジ版USDC）。攻撃者は資金をPolygonからEthereumにブリッジし、約1,893 ETHと交換した。
• 損失額の推定：独立系セキュリティアナリストのSpecter氏は確定損失を294万ドルとし、Polymarketや複数の情報筋は約300万ドルとしている。

この攻撃は、暗号資産プラットフォームに共通する脆弱性を突いたものだ。ブロックチェーンのスマートコントラクト自体は安全でも、サードパーティの依存関係に脆弱性が存在すれば、そこが侵入口となる。ユーザーが正規のPolymarketのウェブサイトにアクセスした際、悪意のあるコードが実際のプラットフォーム上で動作していたため、不正な取引を承認させられてしまった。

Polymarketの対応——封じ込めと全額返金

PolymarketはX（旧Twitter）上で即座に次の対応を発表した：

• 被害の封じ込め：侵害されたサードパーティの依存関係をフロントエンドから削除
• 全額返金：影響を受けた全てのユーザーに全額返金することを約束
• 調査の継続：ただし、侵害されたベンダーの名前は明らかにしなかった

対応は迅速で、同日午前中に被害を発見し確認した。しかし、これはPolymarketにとって2カ月足らずの間に2度目のセキュリティインシデントだった。2026年5月中旬には、内部ウォレットの秘密鍵が侵害され、約**70万ドル（約7000万円）**の損失が発生している。この時はユーザー資金は直接影響を受けなかったものの、Polymarketの運用上のセキュリティに弱点があることを示しており、6月のサプライチェーン攻撃でその懸念が現実のものとなった。

偽の賭け動画スキャンダル——わずか5日前に発覚

ハッキングのわずか5日前の2026年6月20日、ウォール・ストリート・ジャーナル（WSJ）は衝撃的な調査記事を掲載した。Polymarketがソーシャルメディアのクリエイターに金を払い、ユーザーが大金を獲得したように見せる偽の動画を制作させていたという内容だ。

WSJの調査で明らかになった主なポイント：

• アナリストはソーシャルメディア上のPolymarket関連動画1,105本を分析。うち778本が、本物そっくりのクローンサイトを使った偽の賭けを表示しており、実際のPolymarket取引所を使用したものは1本もなかった。
• 動画は合わせて**190万ドル（約1.9億円）**の勝利金があったように偽装されていた。
• Polymarketはクリエイターに賭けを偽装するための**指示書（マニュアル）**を提供していた。
• ハッキング翌日の2026年6月26日、**全米消費者保護協会（National Association of Consumer Advocates）**が訴訟を提起。Polymarketが欺瞞的なマーケティング計画を組織し、秘密広告に資金を提供し、大学生を積極的に標的にし、損失の確率を隠蔽していたと非難した。
• Polymarketは「プロモーションコンテンツを監査している」と応じた。

WSJの報道はさらに、マーケティング請負会社「Virality」がクリエイターネットワークを管理し、クリエイターに月額2,000～3,000ドルを支払っていたことを詳述。支払いの条件は、フォロワーの少なくとも60％が米国在住であることで、予測市場を巡る規制の不透明さを無視したものだった。

2つの危機がもたらす複合的な信用喪失

立て続けに起きた2つのスキャンダルは、複数の側面で複合的な信用危機を生み出している：

側面	影響
セキュリティの信頼	2カ月で2度の侵害——5月の内部ウォレット侵害に続き、6月のサプライチェーン攻撃——は、サードパーティベンダーのリスク管理が不十分であることを示している
運用の誠実性	偽動画スキャンダルは、Polymarketが自ら賭けの結果について一般市民を意図的に欺いていたことを証明した。ユーザーは今後、プロモーションコンテンツだけでなく、市場データそのものの信頼性にも疑問を抱くことになる
規制上のリスク	消費者保護団体による訴訟とハッキングの組み合わせは、規制当局の介入を強く後押しする。Polymarketはすでに商品先物取引委員会（CFTC）の監視対象であり、2024年には未登録取引所運営で14億ドル（約1400億円）のSEC和解金を支払っている
ユーザーの信頼	勝利結果を捏造し、かつ既知の攻撃手法（サプライチェーン型JSインジェクション）に対するフロントエンドの防御もできなかったプラットフォームに、ユーザーが実際の資金を預ける理由は乏しい

タイミングの悪さも際立つ。ハッキングはWSJの調査報道からわずか5日後に発生しており、Polymarketの業務・倫理基準が危険なほど緩いと批判する声を即座に裏付ける形となった。同社は今、セキュリティ、法務、信用の3つの危機に同時に直面しており、ユーザーの信頼を回復する道筋は見えていない。

暗号資産プラットフォーム全体への警鐘

Polymarketのサプライチェーン攻撃は、暗号資産業界全体のセキュリティ上の傾向の一部だ。サードパーティベンダーを標的にしたサプライチェーン攻撃は、ブロックチェーンインフラの強固なセキュリティを迂回できるため、ますます一般的になっている。今回の攻撃ベクトル——侵害されたフロントエンド依存関係を通じた悪意のあるJavaScriptの注入——はよく知られた手法だが、厳格なベンダー審査とコード整合性管理なしには防ぐことが難しい。

暗号資産プラットフォームを利用する全てのユーザーにとって、Polymarket事件はいくつかの教訓を突きつける：

• スマートコントラクトが安全でも、フロントエンドの依存関係が侵害されれば意味がない
• サードパーティベンダーのリスクは、初期のデューデリジェンスだけでなく、継続的な監視が必要
• 短期間に複数のセキュリティインシデントが発生した場合、それはシステム全体の弱点を示している

Polymarketの事例は、欺瞞的なマーケティングが暴露された直後にセキュリティ障害が発生した場合の、ブランドイメージの破壊的影響を浮き彫りにしている。ユーザーはこう考えるだろう——もしプラットフォームが勝利結果について一般市民を欺くことを厭わないのなら、他に何を欺くつもりなのか、と。

Polymarketは影響を受けたユーザーへの全額返金を約束したが、侵害されたベンダー名を公表しておらず、今後の再発防止策についても詳しい説明をしていない。透明性と実質的なセキュリティ改善なしに、ユーザーの信頼を取り戻すのは極めて困難な道のりとなるだろう。