Nền tảng dự đoán Polymarket bị hack 600.000 USD vì lỗ hổng adapter oracle UMA

Nền tảng thị trường dự đoán trên blockchain **폴리마켓(Polymarket)** vừa bị tấn công khai thác lỗ hổng **từ** hợp đồng thông minh tích hợp **từ** khiến khoảng 600.000 USD (khoảng 9,02 tỷ đồng) bị đánh cắp. Nguyên nhân trọng tâm được xác định là lỗ hổng trong lớp tích hợp có tên **từ** “UMA CTF adapter” **từ**, nơi Polymarket kết nối với hạ tầng oracle của UMA.

Theo phân tích on-chain của chuyên gia ZachXBT đưa tin ngày 24 (giờ địa phương), kẻ tấn công đã lợi dụng hợp đồng adapter này triển khai trên mạng **từ** Polygon(MATIC) **từ**. Địa chỉ ví tấn công được xác định là “0x8F98075db5d6C620e8D420A8c516E2F2059d9B91”. ZachXBT đã phát cảnh báo khẩn qua Telegram, sau đó công ty phân tích dữ liệu Bubblemaps cũng khuyến nghị người dùng tạm dừng sử dụng Polymarket cho đến khi có thông báo an toàn mới.

“UMA CTF adapter” là hợp đồng thông minh tùy chỉnh mà Polymarket dùng để kết nối với oracle lạc quan (optimistic oracle) của UMA, phục vụ việc quyết toán kết quả thị trường dự đoán. Tuy nhiên, đây không phải là phần thuộc phạm vi kiểm toán chính thức của UMA mà là mã tích hợp riêng, chứa logic và cấu trúc phân quyền do Polymarket tự thiết kế. Nói cách khác, lỗ hổng không nằm trong giao thức UMA hay hợp đồng cốt lõi của Polymarket, mà phát sinh ở “điểm nối” giữa hai hệ thống.

Cấu trúc như vậy đang là vấn đề lặp lại trong lĩnh vực **từ** DeFi **từ**: giao thức chính thường được kiểm toán kỹ, trong khi các lớp tích hợp, adapter, bridge hoặc module tùy chỉnh lại bị bỏ sót. Polymarket từng được đơn vị kiểm toán bảo mật ChainSecurity đánh giá các hợp đồng giao dịch cốt lõi trong giai đoạn 2021–2022, nhưng adapter UMA nói trên lại không nằm trong phạm vi này, vô tình trở thành bề mặt tấn công mới.

Trước đây, Polymarket cũng từng đối mặt rủi ro liên quan đến oracle trong sự kiện được cộng đồng gọi là “vụ Paris”, khi dữ liệu bên ngoài bị sai lệch dẫn đến việc quyết toán thị trường gặp trục trặc. Sự cố lần này tiếp tục cho thấy thiết kế oracle và adapter trong thị trường dự đoán có thể trở thành “điểm yếu hệ thống” nếu không được quản lý và kiểm thử kỹ.

Dữ liệu on-chain cho thấy kẻ tấn công đã rút lặp đi lặp lại 5.000 **từ** Polygon(MATIC) **từ** theo chu kỳ khoảng 30 giây/lần, nhiều khả năng bằng script tự động. Tổng giá trị tài sản bị rút ước tính trong khoảng 520.000–600.000 USD. Sau khi chiếm đoạt, số tiền này được phân tán sang 15 ví khác nhau, đây là mô hình “chia nhỏ, phân tán” thường thấy trong giai đoạn đầu rửa tiền, nhằm làm khó quá trình truy vết.

Hiện tại, các khoản tiền này vẫn chưa được chuyển sang mixer hay bridge sang chuỗi khác, song việc phân tán nhiều ví khiến khả năng thu hồi bị hạn chế. Điểm tích cực là địa chỉ ví ban đầu đã được công khai, do đó mức độ hợp tác của các sàn giao dịch sẽ đóng vai trò then chốt trong việc phong tỏa, theo dõi và có thể thu giữ tài sản bị đánh cắp.

Sự cố với **từ** Polymarket **từ** và adapter UMA lần này một lần nữa nhấn mạnh rằng lớp tích hợp có thể yếu hơn bản thân giao thức. Trong bối cảnh các nền tảng **từ** DeFi **từ** ngày càng phức tạp và kết nối chéo nhiều hệ thống, yêu cầu rà soát bảo mật cần được mở rộng sang toàn bộ “chuỗi tích hợp”, không chỉ dừng lại ở hợp đồng cốt lõi.

bình luận: Vụ việc Polymarket cho thấy nếu các dự án chỉ tập trung kiểm toán phần “core” mà bỏ quên các adapter, bridge hay mô-đun tùy chỉnh, nguy cơ thua lỗ hàng trăm nghìn đến hàng triệu USD vẫn luôn hiện hữu. Với xu hướng đa chuỗi và tích hợp ngày càng dày đặc, quản trị rủi ro ở “lớp kết nối” sẽ là bài toán sống còn của toàn ngành **từ** DeFi **từ** trong thời gian tới.