Polymarket mất 3 triệu USD vì hack chuỗi cung ứng: Bê bối lớn chồng chất, niềm tin người dùng sụp đổ

Chi tiết kỹ thuật chính:

• Mục tiêu: Mã độc nhắm vào dưới 15 tài khoản, với dữ liệu trên chuỗi từ Bubblemaps cho thấy ít nhất 11 ví đã bị rút sạch .
• Tài sản bị đánh cắp: Đó là pUSD (Polymarket's bridged USDC trên Polygon). Tin tặc đã chuyển số tiền từ Polygon sang Ethereum và đổi lấy khoảng 1.893 ETH .
• Thiệt hại ước tính: Chuyên gia an ninh độc lập Specter xác nhận thiệt hại là 2,94 triệu USD, trong khi Polymarket và nhiều nguồn tin làm tròn thành 3 triệu USD .

Cuộc tấn công này khai thác một điểm yếu kinh điển trong các nền tảng tiền mã hóa: ngay cả khi bảo mật blockchain là vững chắc, các phụ thuộc bên thứ ba vẫn có thể tạo ra lỗ hổng. Những người dùng truy cập vào website Polymarket chính thức đã bị lừa phê duyệt các giao dịch gian lận vì mã độc chạy ngay trên tên miền thật của nền tảng .

Các biện pháp an ninh Polymarket đã thực hiện

Phản ứng ngay lập tức của Polymarket, được công bố trên X/Twitter, bao gồm:

• Ngăn chặn và gỡ bỏ phần phụ thuộc nhà cung cấp bên thứ ba bị xâm phạm khỏi giao diện
• Hoàn trả đầy đủ cho tất cả người dùng bị ảnh hưởng - công ty cam kết bồi thường toàn bộ thiệt hại cho nạn nhân
• Một cuộc điều tra đang được tiến hành, nhưng Polymarket từ chối tiết lộ tên nhà cung cấp liên quan

Phản hồi rất nhanh - công ty đã phát hiện và xác nhận vụ việc ngay trong buổi sáng. Tuy nhiên, đây là sự cố bảo mật thứ hai trong vòng chưa đầy hai tháng của Polymarket. Vào giữa tháng 5/2026, một vụ hack nội bộ đã gây thiệt hại khoảng 700.000 USD sau khi khóa riêng tư bị lộ . Sự cố đó không ảnh hưởng trực tiếp đến tiền người dùng, nhưng nó cho thấy những điểm yếu trong bảo mật vận hành mà vụ tấn công tháng 6 đã xác nhận.

Bê bối tiếp thị lừa dối

Chỉ vài ngày trước vụ hack, vào ngày 20/6/2026, Wall Street Journal đã công bố một cuộc điều tra chấn động, tiết lộ rằng Polymarket đã trả tiền cho những người sáng tạo nội dung trên mạng xã hội để sản xuất các video cho thấy người dùng thắng cược lớn một cách giả tạo trên nền tảng .

Phát hiện chính từ cuộc điều tra của WSJ:

• Các nhà phân tích đã xem xét 1.105 video về Polymarket trên các nền tảng mạng xã hội. 778 video trong số đó cho thấy các cược giả trên các trang web nhái - không có video nào sử dụng sàn giao dịch Polymarket thật .
• Các video này tổng cộng thể hiện số tiền thắng lên tới 1,9 triệu USD .
• Polymarket đã cung cấp cho những người sáng tạo tài liệu hướng dẫn cách dàn dựng các cược .
• Vào ngày 26/6/2026 - một ngày sau vụ hack - Hiệp hội Bảo vệ Người tiêu dùng Quốc gia (Mỹ) đã đệ đơn kiện, cáo buộc Polymarket tổ chức một chiến dịch tiếp thị lừa dối, trả tiền cho quảng cáo ẩn, và nhắm mục tiêu mạnh mẽ vào sinh viên đại học trong khi che giấu xác suất thua lỗ .
• Polymarket phản hồi bằng cách nói rằng họ đang kiểm toán nội dung quảng cáo của mình .

Báo cáo của WSJ cũng chi tiết về một nhà thầu tiếp thị tên là Virality, người quản lý mạng lưới người sáng tạo và trả cho họ từ 2.000 đến 3.000 USD mỗi tháng - với điều kiện ít nhất 60% khán giả của họ phải ở Mỹ, bất chấp sự bất ổn về quy định xung quanh các thị trường dự đoán .

Hai cuộc khủng hoảng này kết hợp lại gây ra hậu quả gì?

Các vụ bê bối liên tiếp tạo ra một cuộc khủng hoảng niềm tin tổng thể trên nhiều khía cạnh:

Thời điểm rất quan trọng: vụ hack xảy ra chỉ 5 ngày sau cuộc điều tra của WSJ, khiến sự cố bảo mật này ngay lập tức xác nhận những lời chỉ trích rằng các tiêu chuẩn vận hành và đạo đức của Polymarket đang ở mức nguy hiểm. Công ty hiện phải đối mặt với một cuộc khủng hoảng an ninh, pháp lý và danh tiếng cùng lúc, và không có con đường rõ ràng để khôi phục lòng tin của người dùng.

Bài học rộng hơn cho các nền tảng tiền mã hóa

Vụ hack chuỗi cung ứng của Polymarket là một phần của xu hướng rộng lớn hơn trong bảo mật tiền mã hóa. Các cuộc tấn công chuỗi cung ứng nhắm vào các nhà cung cấp bên thứ ba ngày càng phổ biến vì chúng vượt qua được bảo mật mạnh mẽ của hạ tầng blockchain. Phương thức tấn công - chèn JavaScript độc hại thông qua một phụ thuộc giao diện bị xâm phạm - đã được biết đến nhưng rất khó ngăn chặn nếu không có sự kiểm định nhà cung cấp và kiểm soát toàn vẹn mã nguồn nghiêm ngặt .

Đối với người dùng tương tác với bất kỳ nền tảng tiền mã hóa nào, sự cố Polymarket nhấn mạnh một số bài học:

• Bảo mật hợp đồng thông minh là chưa đủ nếu các phụ thuộc giao diện bị xâm phạm
• Rủi ro từ nhà cung cấp bên thứ ba cần được giám sát liên tục, không chỉ thẩm định ban đầu
• Nhiều sự cố bảo mật trong thời gian ngắn cho thấy các điểm yếu có tính hệ thống, không phải sự cố cá biệt

Trường hợp của Polymarket cũng làm nổi bật thiệt hại về danh tiếng khi các thất bại bảo mật xảy ra ngay sau khi các chiến dịch tiếp thị lừa dối bị phơi bày. Người dùng có thể tự hỏi: nếu một nền tảng sẵn sàng lừa dối công chúng về kết quả thắng cược, thì họ còn sẵn sàng lừa dối về điều gì khác?

Polymarket đã cam kết hoàn trả đầy đủ cho tất cả người dùng bị ảnh hưởng, nhưng công ty vẫn chưa tiết lộ tên nhà cung cấp bị xâm phạm hoặc cung cấp chi tiết về cách vụ việc này sẽ ngăn chặn các sự cố trong tương lai . Nếu không có sự minh bạch và những cải thiện bảo mật thực chất, việc xây dựng lại lòng tin của người dùng sẽ là một chặng đường đầy khó khăn.