Polymarket330万ドル流出: ブロックチェーンは無傷、狙われたのはフロントエンド

Polymarketが2026年6月25日に約300万ドル規模の攻撃を受けた。スマートコントラクトは無傷で、狙われたのはフロントエンドのサプライチェーンだった。

2026年6月25日、世界最大のプレディクション・マーケット・プラットフォームであるPolymarketは、サイバー攻撃を受けたことを公式に認めた。PeckShieldとBubblemapsのオンチェーン推計によると、ユーザーから約300万ドルが奪われた。

この事件で最も重要な点は一つだ。スマートコントラクトには一切の손傷もなかった。崩れたのはサイト側、つまりフロントエンドである。

Polymarketで何が起きたのか

実は、6月25日の朝、Polymarketのサードパーティベンダーが侵害された。この脆弱性を突いた攻撃者は、プラットフォームのフロントエンドに悪意あるスクリプトを注入し、サイトにアクセスしていた一部ユーザーに配信した。

PeckShieldとBubblemapsのオンチェーン推計では、15未満のウォレットから約300万ドルが流出した。資産はPolymarketで使用されるUSDC担保のステーブルコインであるpUSDで保有されており、その後PolygonからEthereumへ移され、約1,893 ETHに変換された。資金移動の痕跡を隠す典型的な手口だ。

This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
，Polymarket Traders (@PolymarketTrade) June 25, 2026

Polymarketは、インシデントを封じ込め、侵害された依存関係を除去し、被害を受けたユーザーへの全額返金を開始したと発表した。

なぜブロックチェーンへの攻撃ではなかったのか

むしろここが本質的な部分であり、多くの報道が見落としている点でもある。今回の攻撃はPolymarketのスマートコントラクトの脆弱性を一切利用していない。ブロックチェーン上のプロトコルは正常に機能し続けた。

これは典型的なサプライチェーン攻撃だ。オンチェーンコードを直接攻撃するのではなく、攻撃者はサイトにコードを提供する外部ベンダーという弱い環節を狙った。分散型アプリケーション（DApp）には二つの層がある。ブロックチェーン上の不変のスマートコントラクトと、ユーザーが操作するウェブインターフェースだ。前者は完全に保護されていた。後者はそうではなかった。

これがWeb3セキュリティのパラドックスだ。堅牢な金庫を持っていても、入口の扉が改ざんされれば、資金は流出する。

どのようにして資金が盗まれたのか

注入されたスクリプトはサイレントなフィッシング攻撃として機能した。侵害されたバージョンのサイトを通じてアクセスしたユーザーには。操作されたトランザクションのリクエストが表示された。署名したユーザーは。実質的に自分のpUSDを攻撃者のアドレスに転送することを承認していたことになる。

すべてはブロックチェーン上で公開されていた。だからこそ、オンチェーン調査員たちは数時間以内に資金の経路を追跡できた。アナリストのSpecterが最初に不審な動きを報告し、BubblemapsとPeckShieldがこれに続いた。ブロックチェーンエクスプローラーを使えば、誰でも資金が一つのウォレットへ集まっていく様子を確認できた。

We've resolved the issue & are refunding affected users in full: https://t.co/xaYD7666EG
，LeGate (@williamlegate) June 25, 2026

2カ月で2度の事件: Polymarketのパターン

問題は、これが孤立した出来事ではないことだ。わずか2カ月で2度目のセキュリティインシデントとなった。2026年5月にもPolymarketは別の攻撃を受けており、6年前の古い秘密鍵が原因で報酬管理に使われていた内部の運用ウォレットから約70万ドルが失われた。その際はユーザーの資金には被害がなかった。

2026年のPolymarketへの2回の攻撃

オンチェーン推計（PeckShield、Bubblemaps）。5月: 秘密鍵、内部資金。6月: サプライチェーン、ユーザー資金

約0.7 M$

約3.0 M$

2026年5月
秘密鍵2026年6月
サプライチェーン

この攻撃はプラットフォームにとって最悪のタイミングで起きた。ウォール・ストリート・ジャーナルの調査報道では、Polymarketがクリエイターに金銭を支払い、偽の賭けや勝利を宣伝する動画を投稿させていたと報じられた。これに加え、インサイダートレードの問題や、イタリアを含む複数のヨーロッパ諸国での規制上のブロックも重なっている。

より広い文脈: 何を意味するのか

言い換えると、Polymarketは例外ではない。DefiLlamaのデータによると、今回は2026年第2四半期に報告されたセキュリティ攻撃の89番目の事例であり、過去最多の四半期となった。6月のエクスプロイトによる損失は7,490万ドルに達し、5月の6,050万ドルから増加した。

エクスプロイト被害の内訳

直近30日間のクリプトエクスプロイト損失における割合。出所: DefiLlama、2026年6月

秘密鍵の侵害 43%
その他（サプライチェーン、フィッシング、スマートコントラクト） 57%

DefiLlamaのデータが示す傾向は明確だ。侵害されるのはブロックチェーンのコードではなく。運用上のセキュリティが問題になることが増えている。秘密鍵の管理ミスと。制御されていない外部依存関係が主な原因だ。

DAppを利用するユーザーへの示唆

この教訓は不快かもしれないが、必要不可欠なものだ。安全な分散型プロトコルを利用するだけでは十分ではない。アクセスに使うインターフェース自体が改ざんされる可能性があるからだ。ウェブ層は、Web3の世界においても依然として巨大な攻撃対象領域であり続けている。

具体的な防御策は一つだ。署名する前にすべてのトランザクションを注意深く確認すること。自動的に承認してはならない。まとまった金額を扱う場合は、ハードウェアウォレットによるセルフカストディの検討が有効だ。ハードウェアウォレットは実際の送信先アドレスを専用画面に表示するため、悪意あるスクリプトが介入できない。そして攻撃の兆候を見分けるスキルを身につけることが、最善の保険となる。

Polymarketは迅速に対応し、全ユーザーへの返金を約束した。しかし根本的な疑問は残る。プレディクション・マーケットという急成長セクターにおいて、運用上のセキュリティは取引量の増加に追いついているのか。2カ月で2度の脆弱性が発見された事実は、その答えが「ノー」であることを示唆している。

この記事は情報提供のみを目的としており、投資・金融アドバイスを構成するものではありません。暗号資産はリスクが高く、投資した資本の一部または全部を失う可能性があります。

著者