Polymarket โดนแฮก 3 ล้านดอลลาร์ สะเทือนความเชื่อมั่น หลังเพิ่งเปิดโปงเรื่องคลิปปลอม

เมื่อวันที่ 25 มิถุนายน 2569 Polymarket แพลตฟอร์มเดิมพันพยากรณ์ผลเหตุการณ์ดัง ถูกโจมตีทางไซเบอร์รูปแบบ 'supply-chain attack' ทำให้เงินในกระเป๋าผู้ใช้สูญหายไปประมาณ 3 ล้านดอลลาร์สหรัฐ เหตุการณ์นี้เกิดขึ้นเพียง 5 วัน หลังจากที่วอลล์สตรีทเจอร์นัล (WSJ) ตีพิมพ์ข่าวสืบสวนว่า Polymarket จ่ายเงินให้ครีเอเตอร์ทำคลิปหลอกว่าชนะเดิมพัน ทำให้วิกฤตความปลอดภัยกลายเป็นวิกฤตความน่าเชื่อถือแบบทวีคูณ ตั้งคำถามถึงมาตรฐานการดำเนินงาน การจัดการผู้ให้บริการภายนอก และความจริงใจในการปกป้องผู้ใช้

เงิน 3 ล้านหายไปได้อย่างไร

แฮกเกอร์เจาะระบบ ผู้ให้บริการภายนอกรายหนึ่ง ที่ Polymarket ใช้สำหรับส่วนหน้า (frontend) ของเว็บไซต์ เมื่อเข้ามาได้แล้ว พวกเขาฉีด โค้ด JavaScript ที่เป็นอันตราย เข้าไปในหน้าเว็บ เพื่อดำเนินการโจมตีแบบฟิชชิงต่อผู้ใช้บางส่วน โดยสัญญาอัจฉริยะและโครงสร้างพื้นฐานบล็อกเชนหลัก ไม่ถูกบุกรุก — ช่องโหว่อยู่ที่หน้าตาเว็บไซต์เพียงอย่างเดียว

รายละเอียดทางเทคนิคที่สำคัญ:

• เป้าหมาย: โค้ดอันตรายกำหนดเป้าหมายไปที่บัญชี น้อยกว่า 15 บัญชี ข้อมูลบนเชนจาก Bubblemaps ระบุว่ามีวอลเล็ตถูกดูดเงินอย่างน้อย 11 วอลเล็ต
• ทรัพย์สินที่ถูกขโมย: เหรียญ pUSD (USDC ที่ Polymarket เชื่อมไว้บน Polygon) แฮกเกอร์ย้ายเงินจาก Polygon ไปยัง Ethereum และแลกเป็น ประมาณ 1,893 ETH
• มูลค่าความเสียหาย: นักวิเคราะห์ความปลอดภัยอิสระ Specter ประเมินความเสียหายที่ 2.94 ล้านดอลลาร์ ขณะที่ Polymarket และแหล่งข่าวอื่นๆ ปัดเป็นตัวเลขกลมๆ ประมาณ 3 ล้านดอลลาร์

การโจมตีนี้ชี้ให้เห็นจุดอ่อนคลาสสิกของแพลตฟอร์มคริปโต: แม้สัญญาอัจฉริยะจะปลอดภัยแค่ไหน แต่การพึ่งพาบริการจากภายนอกก็สามารถสร้างช่องโหว่ได้ ผู้ใช้ที่เข้าเว็บไซต์จริงของ Polymarket ถูกหลอกให้ยืนยันธุรกรรมปลอม เพราะโค้ดอันตรายทำงานบนโดเมนของแพลตฟอร์มจริง

มาตรการที่ Polymarket ดำเนินการ

Polymarket ประกาศโต้ตอบบน X/Twitter ทันที ดังนี้:

• ควบคุมและลบ ผู้ให้บริการภายนอกที่ถูกเจาะระบบออกจากส่วนหน้าของเว็บไซต์
• ชดใช้เต็มจำนวน ให้ผู้ใช้ที่ได้รับผลกระทบทั้งหมด
• อยู่ระหว่างการสอบสวน แต่ปฏิเสธที่จะเปิดเผยชื่อผู้ให้บริการรายนั้น

แม้การตอบสนองจะรวดเร็ว (ตรวจพบและยืนยันการโจมตีในเช้าวันเดียวกัน) แต่นี่คือ เหตุการณ์ด้านความปลอดภัยครั้งที่สอง ของ Polymarket ในเวลาไม่ถึงสองเดือน ก่อนหน้านี้ในกลางเดือนพฤษภาคม 2569 มีการแฮกวอลเล็ตภายในทำให้เสียหายประมาณ 700,000 ดอลลาร์ จากการรั่วไหลของคีย์ส่วนตัว เหตุการณ์ครั้งก่อนไม่กระทบเงินผู้ใช้โดยตรง แต่ก็ส่งสัญญาณถึงจุดอ่อนด้านความปลอดภัยในการปฏิบัติงาน ซึ่งการโจมตีในเดือนมิถุนายนนี้ยิ่งตอกย้ำ

ฉากหลัง: คลิปปลอมที่ถูกเปิดโปง

เพียงไม่กี่วันก่อนถูกแฮก ในวันที่ 20 มิถุนายน 2569 หนังสือพิมพ์ วอลล์สตรีทเจอร์นัล ตีพิมพ์ข่าวสืบสวนชิ้นโบแดง เปิดเผยว่า Polymarket จ่ายเงินให้ครีเอเตอร์บนโลกออนไลน์เพื่อผลิตคลิปวิดีโอที่แสร้งว่าผู้ใช้ชนะเดิมพันก้อนโต บนแพลตฟอร์ม

ประเด็นสำคัญจากการสืบสวนของ WSJ:

• นักวิเคราะห์ตรวจสอบ คลิปวิดีโอ 1,105 คลิป เกี่ยวกับ Polymarket บนโซเชียลมีเดีย 778 คลิป เป็นการเดิมพันปลอม บนเว็บไซต์เลียนแบบ — ไม่มีคลิปไหนใช้เว็บ Polymarket จริงเลย
• คลิปเหล่านั้นรวมกันแสร้งว่ามีเงินรางวัลรวม 1.9 ล้านดอลลาร์
• Polymarket จัดเตรียม เอกสารคำแนะนำ วิธีการแสร้งเดิมพันให้ครีเอเตอร์
• ในวันที่ 26 มิถุนายน 2569 — วันหลังจากถูกแฮก — สมาคมพิทักษ์สิทธิผู้บริโภคแห่งชาติ (National Association of Consumer Advocates) ยื่นฟ้อง Polymarket ข้อหาวางแผนการตลาดหลอกลวง จ่ายค่าโฆษณาแฝง และมุ่งเป้าหมายไปที่นักศึกษาวิทยาลัยพร้อมทั้งปิดบังความน่าจะเป็นในการแพ้
• Polymarket ตอบโต้ว่ากำลัง ตรวจสอบเนื้อหาส่งเสริมการขาย ของตน

รายงานของ WSJ ระบุรายละเอียดว่า Virality บริษัททำการตลาดเป็นผู้จัดการเครือข่ายครีเอเตอร์ โดยจ่ายค่าจ้างให้ครีเอเตอร์เดือนละ 2,000 – 3,000 ดอลลาร์ โดยมีเงื่อนไขว่าผู้ชมของครีเอเตอร์อย่างน้อย 60% ต้องอยู่ในสหรัฐฯ ทั้งที่สถานะทางกฎหมายของตลาดพยากรณ์ยังคลุมเครือ

วิกฤตซ้อนวิกฤต: ความเสียหายทวีคูณอย่างไร

เหตุการณ์ทั้งสองที่เกิดขึ้นติดๆ กัน สร้างวิกฤตความไว้วางใจแบบทวีคูณในหลายมิติ:

มิติ	ผลกระทบ
ความเชื่อมั่นด้านความปลอดภัย	ถูกเจาะระบบสองครั้งในสองเดือน — วอลเล็ตภายในรั่วในเดือนพฤษภาคม ตามด้วยการโจมตีห่วงโซ่อุปทานมูลค่า 3 ล้านดอลลาร์ในเดือนมิถุนายน — แสดงให้เห็นถึงการบริหารจัดการความเสี่ยงจากผู้ให้บริการภายนอกที่บกพร่อง
ความซื่อตรงในการดำเนินงาน	เรื่องคลิปปลอมพิสูจน์ว่า Polymarket ตั้งใจหลอกลวงสาธารณชนเกี่ยวกับผลการเดิมพัน ผู้ใช้มีเหตุผลที่จะสงสัยว่าเนื้อหาส่งเสริมการขายใดๆ — หรือแม้แต่ข้อมูลตลาด — เป็นของจริงหรือไม่
ความเสี่ยงด้านกฎระเบียบ	การฟ้องร้องจากสมาคมผู้บริโภค รวมกับการถูกแฮก ยิ่งทำให้มีน้ำหนักให้หน่วยงานกำกับดูแลต้องลงมือ Polymarket ถูก CFTC จับตาอยู่แล้ว และอยู่ภายใต้ ข้อตกลงยอมความกับ SEC มูลค่า 1.4 พันล้านดอลลาร์ตั้งแต่ปี 2024 ข้อหาเปิดตลาดซื้อขายโดยไม่ได้รับอนุญาต
ความมั่นใจของผู้ใช้	แพลตฟอร์มที่ทั้งสร้างคลิปปลอมว่าชนะเดิมพัน และยังรักษาความปลอดภัยส่วนหน้าของเว็บไซต์ไม่ได้จากการโจมตีที่รู้จักดี (การฉีด JavaScript) ทำให้ผู้ใช้ไม่มีเหตุผลที่จะไว้วางใจแพลตฟอร์มนี้ด้วยเงินจริง

จังหวะเวลาสำคัญยิ่ง: การโจมตีเกิดขึ้น 5 วัน หลังจาก ข่าวสืบสวนของ WSJ หมายความว่าความล้มเหลวด้านความปลอดภัยนี้ยิ่งตอกย้ำคำวิจารณ์ว่า Polymarket มีมาตรฐานการดำเนินงานและจริยธรรมที่อันตรายเกินไป ตอนนี้บริษัทต้องเผชิญ วิกฤตด้านความปลอดภัย กฎหมาย และชื่อเสียงพร้อมกัน โดยไม่มีหนทางชัดเจนในการฟื้นฟูความเชื่อมั่น

บทเรียนกว้างๆ สำหรับแพลตฟอร์มคริปโต

การโจมตี Polymarket ครั้งนี้เป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้นในวงการรักษาความปลอดภัยคริปโต การโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่ผู้ให้บริการภายนอกกำลังเกิดขึ้นบ่อยขึ้น เพราะเป็นการเลี่ยงระบบรักษาความปลอดภัยที่แข็งแกร่งของโครงสร้างพื้นฐานบล็อกเชน วิธีการโจมตี — การฉีด JavaScript ผ่านผู้ให้บริการส่วนหน้าที่ถูกเจาะ — เป็นที่รู้จักกันดีแต่ยากจะป้องกันได้หากไม่มีการตรวจสอบผู้ให้บริการอย่างเข้มงวดและควบคุมความสมบูรณ์ของโค้ด

สำหรับผู้ใช้ที่โต้ตอบกับแพลตฟอร์มคริปโตใดๆ เหตุการณ์ Polymarket ตอกย้ำบทเรียนสำคัญ:

• ความปลอดภัยของสัญญาอัจฉริยะยังไม่พอ หากส่วนหน้าของเว็บไซต์ที่พึ่งพาบริการภายนอกถูกบุกรุก
• ความเสี่ยงจากผู้ให้บริการภายนอก ต้องมีการติดตามอย่างต่อเนื่อง ไม่ใช่แค่ตรวจสอบสถานะเบื้องต้น
• เหตุการณ์ด้านความปลอดภัยที่เกิดถี่ๆ บ่งชี้ถึงจุดอ่อนเชิงระบบ ไม่ใช่ความล้มเหลวแบบแยกส่วน

กรณีของ Polymarket ยังชี้ให้เห็นถึงความเสียหายต่อชื่อเสียงที่ตามมาเมื่อความล้มเหลวด้านความปลอดภัยเกิดขึ้นทันทีหลังจากถูกเปิดโปงเรื่องการตลาดหลอกลวง ผู้ใช้อาจตั้งคำถามว่า: หากแพลตฟอร์มยินดีหลอกลวงสาธารณชนเกี่ยวกับผลการเดิมพัน แล้วพวกเขาจะไม่หลอกลวงเรื่องอื่นอีกหรือ?

Polymarket สัญญาจะคืนเงินให้ผู้ใช้ที่ได้รับผลกระทบทั้งหมด แต่บริษัทยังไม่เปิดเผยชื่อผู้ให้บริการที่ถูกเจาะ หรือให้รายละเอียดว่าการป้องกันในอนาคตจะเป็นอย่างไร หากปราศจากความโปร่งใสและการปรับปรุงความปลอดภัยที่มีความหมาย การสร้างความเชื่อมั่นของผู้ใช้กลับคืนมาจะเป็นเรื่องยากยิ่ง