Last Updated on 2026年5月24日 by Co-Founder/ Researcher
2026年5月22日、Polygon上のPolymarketの内部運用ウォレットから約57.3万ドル(約9,100万円)相当のPOLが流出した。攻撃者は6年前から本番環境に放置されていた古い秘密鍵を侵害し、約30秒間隔で5,000 POLずつを引き出した。
主要アドレスは0x8F98075db5d6C620e8D420A8c516E2F2059d9B91で、Polygonscanは「Polymarket Adapter Exploiter 1」とラベル付けした。オンチェーン調査員のザックエックスビーティーが08:30 GMT頃に最初に検知し、Bubblemapsが08:51 GMTに公開アラートを発出した。PolymarketのVP of Engineering、ジョシュ・スティーブンス氏はコードの脆弱性ではなく秘密鍵の侵害だと表明し、当該鍵をローテーション、全本番権限を剥奪、今後すべての秘密鍵をKMS(クラウド型鍵管理サービス)へ移行すると公表した。
ザックエックスビーティー、BitcoinVN、ChangeNOWの協力で約16.4万ドル(約2,600万円)が凍結された。ユーザーの預け入れ、アクティブなベット、担保pUSDは別コントラクトにあり影響を受けなかった。
From: Polymarket Adapter Drained of $660K via Old Key Compromise
【編集部解説】
今回のPolymarket事件は、単なる「DeFiまた一つハッキング」というニュースで片付けてはいけない、現代の予測市場(プレディクション・マーケット)が抱える構造的な課題を浮き彫りにしたインシデントです。なぜ今この記事をお届けするのか、その背景から紐解いていきます。
まず押さえておきたいのは、Polymarketが「世界最大の分散型予測市場」と呼ばれる存在であり、米大統領選挙からビットコイン価格、AIモデルのリリース時期まで、ありとあらゆる「未来の出来事」に賭けが可能なプラットフォームだという点です。Tech for Human Evolutionを掲げる私たちにとって、予測市場は「集合知が未来をどこまで正確に映し出せるか」を試す壮大な社会実験でもあります。だからこそ、その基盤に生じた揺らぎは丁寧に解説する価値があります。
今回の事象を技術的に整理すると、攻撃が直撃したのはPolymarketのコア取引契約ではなく、UMAのOptimistic Oracle(オプティミスティック・オラクル)とPolymarketの予測市場を橋渡しする「アダプター層」近傍にあった、内部運用ウォレット(リワード・トップアップ用)でした。ユーザーの担保(2026年4月28日のV2移行以降はpUSD)やベットポジションが置かれている契約とは分離されていたため、この設計上の隔離が被害をユーザー資産に及ばせなかった最大の理由になっています。
そしてもう一つ重要なのは、これが「スマートコントラクトのバグ」ではなく「秘密鍵の管理失敗」だったという点です。リエントランシーやアクセス制御の脆弱性であればコードを修正できますが、鍵が漏れた場合、攻撃者は正当な権限保有者と同じ顔をしてシステムに入ってきます。チェーン上のトランザクションは「正規の操作」として記録され、リアルタイムでは見分けがつきません。30秒間隔で5,000 POLずつ抜き取る自動化された動きは、まさに「鍵さえあれば誰にでもできてしまう」攻撃の典型でした。
事件直後、PolymarketのVP of Engineeringであるジョシュ・スティーブンス氏が事後検証(ポストモーテム)の概要を公表しました。侵害された鍵はおよそ6年前(2020年頃)に生成されたもので、内部トップアップ設定の中に長らく放置されていたとのことです。チームは即座に鍵をローテーションし、本番環境に紐付くすべての権限を剥奪。さらに、今後はすべての秘密鍵をKMS(クラウド型鍵管理サービス)へ移行すると発表しました。「6年間も古い鍵が現役のまま動いていた」という事実は、急成長するDeFiサービスが運用衛生(Ops Hygiene)とどう向き合うかを突きつける、本事件最大の教訓だと私たちは考えます。
被害額についてはメディア間で揺れがあり、ザックエックスビーティーの初期推定は約52万ドル(約8,300万円)、Bubblemapsは約60万ドル(約9,500万円)、後続のLookonchainや今回参照したourcryptotalk.comは約66万ドル(約1億500万円)、AMBCryptoやCryptoTimesは約70万ドル(約1億1,100万円)と報じました。しかしスティーブンス氏が事後にX上で公表した確定値は$573,200(約9,100万円)の流出で、そのうち$164,000(約2,600万円)がザックエックスビーティー、BitcoinVN、ChangeNOWの連携で凍結回収されました。差し引きの実質損失は約$409,200(約6,500万円)です。為替は2026年5月22日のレート1ドル=約159円で換算しました。
この「凍結回収」という結末も注目に値します。ノンカストディアル型スワップサービスのChangeNOWや、ベトナム拠点のBitcoinVNといった事業者が、独立した立場から犯罪収益の遮断に協力したのは、暗号資産業界における自律的なディフェンス・ネットワークの成熟を示す好例です。完全な分散とは無縁ではない「人と組織の連携」が、被害を最小化したわけです。
予測市場というジャンルが今後社会インフラ化していく可能性を考えると、このインシデントが投げかける問いは重いものがあります。情報市場(インフォメーション・マーケット)は経済学者のロビン・ハンソン氏らが20年以上前から「未来を集合的に予測する仕組み」として提唱してきましたが、それが本当に大規模化するためには、運用ウォレットの鍵管理、マルチシグやHSM(ハードウェアセキュリティモジュール)/KMSの導入、定期的な鍵ローテーションといった「地味だが本質的な運用セキュリティ」が問われます。
そしてこの事件は、Polymarketにとって極めて厳しいタイミングで発生しました。同じ時期に米下院監視・政府改革委員会(コーマー委員長)が、PolymarketとKalshiに対する正式調査の開始を発表。さらに韓国の放送通信審議委員会(KCC)も、Polymarketが違法ギャンブルに該当するかの審査に着手しています。規制当局が予測市場を「真剣に扱うべき市場」と認識し始めたまさにその瞬間に、運用上の落ち度が露見してしまったのは、業界全体にとっても痛みを伴う出来事です。
ポジティブな視点で見れば、今回のインシデントは「コア契約とオペレーション層を分離するアーキテクチャ」の有効性を実証した側面もあります。約57.3万ドル(約9,100万円)という損失は決して小さくありませんが、ユーザー資金が完全に守られ、かつ事業者連携で約3割を取り戻したことは、DeFi全体にとって設計思想と業界連携の双方が機能した参考事例になります。
一方、潜在的リスクとして、信頼の毀損が長期的な利用者離れにつながる可能性は否定できません。元記事(ourcryptotalk.com)によれば、Polymarketはこれ以前にもサードパーティ認証経由の脆弱性や、2026年2月のオフチェーン/オンチェーン同期不具合といった運用関連の問題を経験しています。グローバル展開を進めるタイミングで規制当局がこうした事案をどう評価するかも注視すべき点です。
最後に、私たちが伝えたいメッセージは一つです。Web3の進化は「賢いコードを書くこと」だけでは完成しません。鍵という、もっとも古典的な「秘密」を、誰が、どこで、どう守るのか——その人的・運用的な営みこそが、未来の信用インフラを支えるのです。そして万一の侵害時に「業界がどれだけ早く・どれだけ広く連携できるか」もまた、Web3時代の新しい安全保障の形だと言えるでしょう。
【用語解説】
UMA CTF Adapter
Polymarketの予測市場をUMAのOptimistic Oracleに接続するためのアダプター契約である。市場の解決(どちらの結果が勝ったかの確定)に必要なデータをオラクルから取得し、Conditional Tokens Frameworkに反映する役割を担う。
Optimistic Oracle(オプティミスティック・オラクル)
「提案された答えはひとまず正しいと仮定し、異議申し立てがなければそのまま確定する」という設計のオラクル機構である。価格フィードに限定されず、選挙結果やスポーツ結果など任意のデータをオンチェーンに供給できる。
Conditional Tokens Framework(CTF)
Gnosis社が開発した、条件付きの結果(YES/NO)をERC1155トークンとして発行・管理する仕組みである。Polymarketの各予測市場はこのフレームワーク上に構築されている。
$POL(POLトークン)
Polygonエコシステムのネイティブトークン。旧MATICからリブランドされたもので、ガス代支払いやステーキングに使われる。
pUSD(Polymarket USD)
2026年4月28日のV2アップグレードでUSDC.eに代わって導入された、Polymarket専用の担保ERC-20トークンである。Circle発行の正規USDCで1対1の裏付けがあり、ブリッジ依存を排した直接的な信用構造を持つ。
USDC.e
イーサリアムから橋渡し(ブリッジ)された旧来版のUSDC。長らくPolymarketの担保トークンとして使われていたが、2026年4月のV2移行でpUSDに置き換えられた。
秘密鍵(プライベートキー、PK)
ブロックチェーン上の資産やコントラクトを操作する権限を証明する暗号鍵である。漏洩した時点で正規保有者と同等の権限が第三者に渡る。
KMS(Key Management Service / クラウド型鍵管理サービス)
AWS KMSやGoogle Cloud KMSのように、秘密鍵をクラウド事業者の堅牢な環境内で生成・保管・利用する仕組みである。鍵そのものをアプリケーション側に露出させず、署名等の操作のみを呼び出せる。Polymarketは今回の事件後、全秘密鍵のKMS移行を発表した。
HSM(ハードウェアセキュリティモジュール)
秘密鍵を専用ハードウェア内で生成・保管・利用する装置である。鍵を物理的に隔離する点でKMS(ソフト/クラウド型)とは異なるが、目的(鍵露出の防止)は共通する。
マルチシグ(マルチシグネチャ)
1件のトランザクション実行に複数の鍵の署名を必要とする方式である。1つの鍵が漏れただけでは資産が動かないため、単一鍵侵害への耐性が高い。
鍵のローテーション
一定期間ごとに鍵を新しいものへ更新し、古い鍵を無効化する運用慣行である。漏洩リスクの低減と侵害発覚時の被害範囲縮小を目的とする。
ミキサー / スワップサービス
複数の入金を混合させて出金経路を追跡しにくくするサービスや、別の暗号資産に交換して資金の出所を曖昧化するサービスの総称である。資金洗浄(マネーロンダリング)対策の追跡を難しくする。
リエントランシー / アクセス制御の脆弱性
スマートコントラクトのコードに起因する代表的なバグの種類である。今回の事案はこれらコードの脆弱性ではなく、鍵管理の失敗(運用面の問題)に分類される。
ポストモーテム
インシデント収束後にチームが公表する事後検証レポートのこと。原因、影響範囲、再発防止策を読者と利害関係者に共有するDeFi業界の慣行である。
【参考リンク】
Polymarket(公式サイト)(外部)
世界最大級の分散型予測市場プラットフォーム。政治、経済、スポーツ、暗号資産など多様なテーマで未来の出来事を取引できる。
Polymarket Documentation(公式ドキュメント)(外部)
Polymarketの仕組みや解決プロセス、開発者向けAPIをまとめた公式ドキュメント。UMAオラクル統合の解説も含まれる。
Polymarket USD (pUSD)公式仕様(外部)
2026年4月28日のV2移行で導入された担保トークンpUSDの公式仕様。USDC.eからの置き換えの経緯と契約構成が記載されている。
Polymarket / uma-ctf-adapter(GitHub)(外部)
今回の事案で焦点となったアダプター契約のオープンソース実装。監査レポートやコントラクトコードがGitHub上で公開されている。
UMA Protocol(公式サイト)(外部)
Optimistic Oracleを開発・運営するプロトコル。Polymarketのほかクロスチェーンブリッジでも採用されている真実供給基盤である。
Polygon(公式サイト)(外部)
今回の攻撃対象コントラクトがデプロイされているEVM互換のL2/サイドチェーンプラットフォーム。POLトークンを基軸とする。
Polygonscan(外部)
Polygon上のトランザクションやコントラクトを閲覧できるブロックエクスプローラ。攻撃者アドレスへのラベル付けも確認可能である。
Bubblemaps(公式サイト)(外部)
ウォレットとトークン保有の関係性を可視化するオンチェーン分析ツール。今回のドレインを早期に検知し公開警告を発した。
ChangeNOW(公式サイト)(外部)
登録不要で利用できるノンカストディアル型の暗号資産スワップサービス。今回の事案では資金凍結に協力した。
ZachXBT(Xアカウント)(外部)
著名なオンチェーン調査員のXアカウント。今回の不審な引き出しを最初に公開で指摘し、凍結対応も主導した。
【参考記事】
A Six-Year-Old Key Just Cost Polymarket $573K On Its Worst Friday(Yellow.com)(外部)
確定流出額$573,200と凍結額$164,000を明示し、6年前の秘密鍵が内部トップアップ用ウォレットに残存していた構造的問題を整理。韓国KCC審査との同時性にも触れている。
Polymarket Faces Crypto Hack Amid South Korea’s Probe(CoinGape)(外部)
ZachXBT、BitcoinVN、ChangeNOWの連携による$164,000凍結回収の経緯と、韓国放送通信審議委員会(KCC)による違法ギャンブル該当性審査開始の同時発生を伝える記事。
Polymarket Hit By $700K Exploit: What We Know(Bitcoinist)(外部)
Stevens氏のKMS移行発表と、米下院監視・政府改革委員会(コーマー委員長)のPolymarket・Kalshiへの正式調査開始という規制動向との時間的近接性を扱った記事。
Polymarket Vice President Denies Contract Hack(U.Today)(外部)
VP Stevens氏のスマートコントラクトハック否定声明と、全秘密鍵のKMS移行という再発防止策を公式発表として整理した記事。
Polymarket Suffers $700K Breach After Internal Admin Wallet is Compromised(Bitcoin.com News)(外部)
Stevens氏のポストモーテム声明(6年前の鍵、内部トップアップ設定、KMS移行)を簡潔にまとめた一次に近い報道。
Polymarket Exchange Upgrade: April 28, 2026(Polymarket Help Center)(外部)
2026年4月28日に実施されたUSDC.eからpUSDへの担保移行と、CTF Exchange V2への切り替えを告知する公式ヘルプ記事。本事件時の担保トークン特定の根拠とした。
Polymarket Suffers $600K Private Key Breach, User Funds Safe(BanklessTimes)(外部)
Polymarketプロトコルチームのシャンティキラン・チャナル氏の声明と、資金が約15アドレスに分散された経緯を被害額60万ドル時点で整理した記事。
Polymarket private key compromise turns feared exploit into internal wallet breach(CryptoSlate)(外部)
PolygonScan上の具体トランザクションを示し、「数秒ごとに残高をチェックして補充する内部リフィラー・サービス」というオペレーション設計の特徴に踏み込んで解説した記事。
Japanese Yen Exchange Rate Data(Trading Economics)(外部)
2026年5月22日のUSD/JPYレートが約159.1150であったことを示す為替データソース。本記事内の円換算の基準として参照した。
【編集部後記】
予測市場は、私たち一人ひとりの「未来への読み」が値段になって可視化される、まだ若い情報インフラです。今回の事案は、そんな新しい仕組みを支える「鍵」という、とても古典的なものの重さを改めて教えてくれました。6年前の鍵が静かに動き続けていた事実は、急成長するサービスが必ずぶつかる「過去の自分との向き合い方」の難しさも示しています。
みなさんは、自分が日常で使うサービスの「裏側」を、どれくらい意識していますか。ご自身の暗号資産ウォレットの鍵管理を見直すきっかけにしてもよいかもしれません。
——————–
※本記事は情報提供を目的としており、投資助言ではありません。
詳細は当サイトの免責事項をご確認ください。
——————–