Sự cố bảo mật Polymarket: Ví vận hành bị lộ khóa riêng, hacker rút hàng trăm nghìn USD POL

Nói đơn giản:

• Người dùng đặt cược vào kết quả một sự kiện (ví dụ: kết quả bầu cử, giá tài sản, sự kiện chính trị).
• Sau khi sự kiện xảy ra, Optimistic Oracle của UMA giúp xác nhận kết quả.
• CTF Adapter đóng vai trò cầu nối để thị trường được giải quyết và thanh toán trên blockchain Polygon.

Do đó, adapter này là thành phần vận hành quan trọng trong quá trình thanh toán thị trường dự đoán.

Cuộc tấn công được phát hiện như thế nào

Sự cố ban đầu không phải do Polymarket công bố mà được phát hiện qua giám sát on‑chain.

Nhà điều tra blockchain ZachXBT nhận thấy các giao dịch đáng ngờ từ những địa chỉ liên quan đến adapter khi theo dõi dữ liệu blockchain. Ông phát hiện một mô hình giao dịch lặp lại:

• Khoảng 5.000 POL được rút mỗi 30 giây
• Các giao dịch diễn ra liên tục trong nhiều lần

Chuỗi giao dịch lặp lại này cho thấy đây không phải một giao dịch khai thác duy nhất, mà là một quá trình rút tiền tự động, khiến tổng số tiền bị đánh cắp tăng dần theo thời gian.

Cảnh báo nhanh chóng lan rộng trong cộng đồng crypto khi các nhà phân tích theo dõi hoạt động của ví tấn công theo thời gian thực.

Hacker đã di chuyển số tiền như thế nào

Phân tích on‑chain cho thấy kẻ tấn công đã thực hiện một số bước quen thuộc trong các vụ hack DeFi:

• Ít nhất hai địa chỉ liên quan đến hệ thống adapter bị rút tiền trong sự cố.
• Token POL bị đánh cắp được phân tán sang nhiều ví khác nhau nhằm gây khó khăn cho việc truy vết.
• Một phần tài sản sau đó được chuyển tới các sàn giao dịch tiền mã hóa, có thể để hoán đổi hoặc rút tiền mặt.

Nhờ tính minh bạch của blockchain, các nhà phân tích có thể theo dõi từng bước di chuyển của số tiền này.

Vì sao Polymarket nói đây không phải exploit hợp đồng thông minh

Trong các báo cáo ban đầu, sự cố được mô tả là một "exploit" hợp đồng. Tuy nhiên sau đó Polymarket giải thích rằng logic của hợp đồng thông minh vẫn hoạt động đúng thiết kế.

Sự khác biệt rất quan trọng:

• Exploit hợp đồng thông minh: hacker lợi dụng lỗi trong code để rút tiền.
• Lộ private key: hacker có quyền ký giao dịch hợp lệ giống như chủ ví.

Trong trường hợp này, kẻ tấn công chỉ đơn giản sử dụng khóa riêng bị lộ để ký các giao dịch rút tiền hợp lệ, nên hệ thống blockchain vẫn xử lý giao dịch như bình thường.

Người dùng Polymarket có bị ảnh hưởng không?

Theo thông báo từ dự án, sự cố:

• Không ảnh hưởng đến tiền của người dùng
• Không làm gián đoạn việc giải quyết thị trường dự đoán
• Không liên quan đến các hợp đồng giao dịch cốt lõi của nền tảng

Polymarket khẳng định các hệ thống chính vẫn hoạt động bình thường và sự cố chỉ giới hạn ở một ví vận hành nội bộ dùng cho các chức năng hạ tầng.

Những câu hỏi bảo mật vẫn chưa có lời giải

Dù nguyên nhân ban đầu được xác định là lộ khóa riêng, một số vấn đề quan trọng vẫn chưa được làm rõ tại thời điểm báo cáo:

• Private key bị lộ bằng cách nào? (thiết bị nhà phát triển, hệ thống máy chủ, hay quy trình vận hành?)
• Tại sao ví này có quyền truy cập đủ lớn để di chuyển lượng token đáng kể?
• Vì sao các giao dịch rút lặp lại trong thời gian dài mà không bị chặn ngay lập tức?
• Hệ thống quản lý khóa của dự án sử dụng cơ chế nào, chẳng hạn multisig hay phần cứng bảo mật?

Nếu không có bản phân tích kỹ thuật chi tiết sau sự cố, nhiều chuyên gia chỉ có thể kết luận rằng đây có khả năng là lỗi trong quy trình vận hành và quản lý khóa, thay vì lỗi ở giao thức DeFi.

Bài học lớn cho bảo mật DeFi

Sự cố của Polymarket nhấn mạnh một thực tế quen thuộc trong lĩnh vực DeFi: hợp đồng thông minh có thể an toàn, nhưng hạ tầng vận hành và quản lý khóa vẫn là điểm tấn công quan trọng.

Chỉ cần một private key bị lộ, kẻ tấn công có thể thực hiện các giao dịch hoàn toàn hợp lệ trên blockchain và vượt qua nhiều lớp bảo vệ của hệ thống.

Đối với các nền tảng vận hành nhiều thành phần như oracle, adapter và ví vận hành, sự kiện này là lời nhắc mạnh mẽ về tầm quan trọng của:

• quản lý khóa nghiêm ngặt
• phân tách quyền truy cập
• giám sát on‑chain theo thời gian thực

Những yếu tố này thường quyết định mức độ an toàn của hệ thống không kém gì bản thân mã hợp đồng.