Polymarketでフロントエンド攻撃による被害は最大310万ドル
世界最大規模の分散型予測市場プラットフォームPolymarketが、重大なセキュリティインシデントに見舞われ、被害は最大310万ドル(約5億円)に拡大した事がわかった。
当初の推計を上回る被害額が明らかになる中、同取引所側は影響を受けたユーザーへの全額返金を公表したものの、相次ぐ不祥事や規制当局からの監視強化により、同社を取り巻く環境は急速に厳しさを増している。
今回の不正流出は、ブロックチェーンのコアプロトコルやスマートコントラクト自体の脆弱性を突いたものではなく、ウェブサイトのインターフェースを狙った「サプライチェーン攻撃」だった。外部ベンダーのシステムが侵害されたことにより、Polymarketのフロントエンドに悪意あるスクリプトが混入。ユーザーが通常の取引を行っていると思い込んだまま、不正なウォレット操作を承認(署名)させられるフィッシングキャンペーンが展開された。
ブロックチェーン分析企業AMLBotによる最新のオンチェーン調査では、ポリゴン(Polygon)ネットワーク上のPUSDウォレットを標的に、少なくとも11人以上のユーザーから約310万ドル相当の資産が盗み出されたことが判明。当初の推定被害額(約294万ドル)から規模は拡大しており、ハッカーは奪った資金を即座にイーサリアム(Ethereum)へブリッジし、約1,893ETHに交換して特定のアドレスへ集約した形跡が確認されている。
プラットフォーム側のスマートコントラクトがどれほど堅牢であっても、ウェブインターフェースや利用している外部コードが改ざんされれば、ユーザーはリアルタイムで危険を検知できない。今回の事件は、Web3業界におけるサードパーティ依存の危うさを改めて浮き彫りにしている。
相次ぐセキュリティ問題と約束される全額返金への視線
Polymarketはすでに問題を特定・封じ込め、影響のあった依存関係を排除したと説明して。また、被害に遭ったユーザーに対して個別に連絡を取り、全額返金を行う方針を打ち出したが、プラットフォームの安全性に対する懸念は拭えていない。
同社ではセキュリティ問題が常態化しつつあり、直近でも、従業員用やユーザー報酬に充てていた企業管理ウォレットの秘密鍵が漏えいし、約70万ドル(約1.1億円)を紛失したばかりだ。また、過去にはスマートコントラクトからの不正引き出しの疑いや、不審なログイン試行が相次いたことでコミュニティ内で混乱を招いた経緯も。
データによると、昨今の暗号資産業界におけるセキュリティ侵害件数は過去最多を記録。Polymarketを含めた各プラットフォームには、ベンダー管理やログインシステム全般における、より厳格な防衛策が求められている。
マーケティング不正疑惑と厳格化する規制当局の監視
さらに同社を追い詰めているのが、ガバナンスや法的なリスクの噴出だ。米国メディアの報道により、Polymarketがオンラインインフルエンサーに対し、架空の賭け金や配当を演出した、誤解を招くプロモーション動画を制作させるための報酬を支払っていた疑惑が浮上。これを受けて同社はマーケティング体制の監査を発表せざるを得ない状況に追い込まれた。
この動きは米国連邦議会の上院議員らの反発を招き、CFTC(商品先物取引委員会)に対して、同社の隠蔽(いんぺい)された広告キャンペーンや模擬取引に関する欺瞞(ぎまん)的行為を徹底調査するよう要請が出される事態に発展。現在、予測市場の規制を巡っては、無許可のスポーツ賭博提供を理由とした州当局からの告発や、デリバティブとしての管轄権を主張するCFTCとの間で激しい法的論争が続いている。
今回のハッキングと一連の不祥事は、利用者保護の観点から、規制当局による監視や介入をさらに加速させる決定打となる可能性をはらんでいる。
