Phần mở đầu
Ngày 14 tháng 6 năm 2026, Polymarket xác nhận đã xảy ra một vụ hack ví nội bộ ảnh hưởng đến hệ thống phần thưởng vận hành của nền tảng. Vụ xâm nhập—lần đầu được công ty phân tích dữ liệu on-chain Bubblemaps phát hiện—liên quan đến các lệnh chuyển tự động đáng ngờ từ một ví gắn với cơ chế phân phối phần thưởng của Polymarket. Polymarket làm rõ rằng tiền của người dùng vẫn an toàn, đồng thời cho rằng sự cố xuất phát từ việc lộ khóa riêng (private key) chứ không phải lỗi nào trong các smart contract cốt lõi của nền tảng. Phân biệt này là then chốt: lỗ hổng smart contract sẽ đe dọa từng đô la trên nền tảng, trong khi một ví vận hành bị xâm phạm chỉ là vấn đề được khoanh vùng. Sự cố này cho thấy các thị trường dự đoán hiện đại xử lý lỗi bảo mật như thế nào, và các lựa chọn kiến trúc có thể giới hạn mức độ thiệt hại khi xảy ra vi phạm.
Phát hiện: Bubblemaps cảnh báo và dòng chuyển tiền tự động
Tín hiệu công khai đầu tiên đến từ Bubblemaps, một công cụ trực quan hóa on-chain theo dõi các cụm ví và dòng token trên nhiều mạng. Hệ thống cảnh báo tự động của họ phát hiện một mẫu dòng tiền đi ra từ một địa chỉ được biết là gắn với Polymarket trên mạng Polygon, kích hoạt việc rà soát ngay lập tức từ cộng đồng an ninh crypto.
Trong vài giờ, các nhà nghiên cứu độc lập đã xác nhận phát hiện này. Ví đã bị rút cạn một cách có hệ thống thông qua một loạt giao dịch giống hệt nhau, mỗi giao dịch chuyển một lượng cố định token POL theo các khoảng thời gian đều đặn. Độ chính xác máy móc của các lệnh chuyển cho thấy việc thực thi được tự động hóa.
Nhận diện mẫu: chuỗi lệnh chuyển POL lặp lại 5.000 POL
Kẻ tấn công thực hiện các lệnh chuyển đúng 5.000 POL, xấp xỉ mỗi 12 phút trong nhiều giờ. Cách “rót” dần này trải khoản trộm cắp sang hàng chục giao dịch nhỏ hơn, thay vì một giao dịch lớn duy nhất vốn có thể khiến cảnh báo được kích hoạt ngay.
Đến lúc Bubblemaps đưa ra cảnh báo, khoảng 230.000 POL (tương đương xấp xỉ 115.000 USD tại thời điểm đó) đã rời khỏi ví. Tính đồng nhất về số lượng và thời điểm chuyển cho thấy rất mạnh rằng một script hoặc bot đang thực hiện việc rút trích.
Truy vết địa chỉ kẻ tấn công trên mạng Polygon
Những điều tra viên on-chain nhanh chóng lần ra địa chỉ nhận. Địa chỉ của kẻ tấn công không có lịch sử giao dịch trước sự cố, điều này thường gặp ở các ví mới tạo dùng cho mục đích khai thác. Các công ty pháp y blockchain bao gồm Chainalysis và Arkham Intelligence bắt đầu gắn nhãn các địa chỉ liên quan trong vòng 24 giờ.
Thông báo chính thức của Polymarket: ví nội bộ bị xâm phạm
Phản hồi của Polymarket xuất hiện khoảng 6 giờ sau cảnh báo của Bubblemaps. Nền tảng đăng một thông báo trên X (trước đây là Twitter) và trên blog chính thức, xác nhận vụ vi phạm. Thông báo nêu rõ rằng không có số dư người dùng, vị thế thị trường hay cơ chế phân bổ kết quả nào bị ảnh hưởng. Polymarket mô tả vụ việc là “lộ khóa riêng của một ví vận hành nội bộ”.
Lộ khóa riêng vs. lỗ hổng smart contract
Lỗ hổng smart contract nghĩa là đoạn mã chi phối các chức năng cốt lõi của nền tảng có điểm yếu mà kẻ tấn công có thể khai thác. Lộ khóa riêng nghĩa là ai đó đã có quyền truy cập vào khóa mật mã điều khiển một ví cụ thể. Các smart contract của nền tảng hoạt động đúng như thiết kế; vấn đề là một bên không được ủy quyền đã lấy được thông tin đăng nhập cho đúng một địa chỉ.
Cuộc kiểm toán smart contract gần đây nhất của Polymarket, do Trail of Bits thực hiện vào đầu năm 2026, không phát hiện lỗ hổng nghiêm trọng nào. Kết quả kiểm toán này xác nhận tính toàn vẹn của mã chi phối tiền của người dùng.
Vai trò của ví vận hành trong chi trả phần thưởng
Ví bị xâm phạm thực hiện một chức năng cụ thể: phân phối phần thưởng khai thác thanh khoản (liquidity mining rewards) và ưu đãi khuyến mãi cho các trader tích cực. Ví này nắm giữ các token POL dành riêng cho các chương trình này, chứ không phải USDC hoặc các stablecoin khác dùng cho vị thế thị trường.
Ví này hoạt động như một hot wallet, nghĩa là khóa riêng được lưu trữ theo cách cho phép các giao dịch tự động và diễn ra thường xuyên. Hot wallet giúp tăng tốc độ và tự động hóa nhưng có rủi ro cao hơn vì khóa có thể truy cập từ các hệ thống trực tuyến.
Đánh giá tác động và trấn an về an toàn cho người dùng
Thiệt hại tài chính từ sự cố này tương đối bị hạn chế. Khoản POL bị đánh cắp khoảng 115.000 USD thể hiện một phần nhỏ so với tổng giá trị đang khóa của Polymarket, vốn vượt 480 triệu USD tại thời điểm xảy ra vi phạm. Khối lượng giao dịch hằng ngày của nền tảng không bị ảnh hưởng, và không có thị trường nào bị tạm dừng hoặc gián đoạn.
Cô lập tiền gửi người dùng và cơ chế phân giải kết quả thị trường
Tiền của người dùng trên Polymarket được lưu trong các smart contract trên Polygon, được điều khiển bởi mã của giao thức thay vì bởi bất kỳ một khóa riêng riêng lẻ nào. Việc nạp, rút tiền và phân giải kết quả thị trường đều được thực thi thông qua các hợp đồng này. Ví vận hành bị xâm phạm không có quyền hạn đối với các chức năng đó.
Ví vận hành chỉ có thể gửi POL cho mục đích phần thưởng; không thể tương tác với số dư người dùng, sửa đổi các tham số thị trường hoặc kích hoạt cơ chế phân giải kết quả.
Tình trạng hiện tại của vận hành nền tảng và thanh khoản
Tính đến thời điểm viết bài, Polymarket đang vận hành đầy đủ. Việc phân phối phần thưởng đã bị tạm dừng tạm thời trong khi nhóm xoay khóa (rotate keys) và triển khai một ví thay thế. Nền tảng xác nhận rằng các khoản phần thưởng còn phải trả cho người dùng sẽ được chi trả từ một phân bổ quỹ dự trữ (treasury) riêng.
Thanh khoản trên các thị trường lớn, bao gồm các thị trường dự đoán chính trị tại Mỹ và các hợp đồng sự kiện trên toàn cầu, vẫn ổn định. Không có sự gia tăng rút tiền đáng kể trong 48 giờ sau khi công bố thông tin.
Hàm ý bảo mật đối với các thị trường dự đoán phi tập trung
Vụ hack này đặt ra câu hỏi về cách các thị trường dự đoán quản lý sự giằng co giữa phi tập trung và sự tiện lợi vận hành. Polymarket hoạt động theo mô hình lai: cơ chế vận hành thị trường cốt lõi chạy trên smart contract, nhưng các chức năng hỗ trợ lại dựa vào cơ sở hạ tầng truyền thống mang tính tập trung hơn.
Rủi ro của các ví vận hành tập trung
Bất kỳ ví nào do một khóa riêng đơn lẻ kiểm soát đều là mục tiêu. Các vector tấn công phổ biến bao gồm máy tính của nhà phát triển bị xâm phạm hoặc môi trường cloud nơi khóa được lưu trữ, các cuộc tấn công lừa đảo nhắm vào thành viên trong nhóm có quyền truy cập ví, mối đe dọa từ nội bộ, và các cuộc tấn công vào phần mềm quản lý khóa trong chuỗi cung ứng.
Hiện chưa thể quy vụ việc Polymarket cho một vector cụ thể, dù nền tảng cho biết cuộc điều tra đang được tiến hành với sự hỗ trợ của các công ty an ninh bên ngoài.
Thực hành tốt để giảm thiểu rủi ro lộ lộ hot wallet
Một số biện pháp có thể giảm rủi ro và tác động của việc hot wallet bị xâm phạm:
- Sử dụng ví multisig cho mọi địa chỉ nắm giữ giá trị đáng kể, kể cả các ví vận hành
- Áp dụng giới hạn chi tiêu để khống chế số tiền tối đa mà bất kỳ một giao dịch hoặc khoảng thời gian nào có thể chuyển
- Xoay khóa theo lịch định kỳ và sau mọi thay đổi nhân sự
- Lưu khóa hot wallet trong các mô-đun bảo mật phần cứng (hardware security modules) thay vì giải pháp dựa trên phần mềm
- Theo dõi dòng tiền đi ra theo thời gian thực với cảnh báo tự động được tinh chỉnh để phát hiện các mẫu bất thường
Polymarket cho biết họ sẽ áp dụng một số biện pháp trong số này cho ví vận hành thay thế, bao gồm yêu cầu multisig và giới hạn chi tiêu theo từng giao dịch.
Theo dõi liên tục và các bước khắc phục trong tương lai
Polymarket cam kết sẽ công bố báo cáo hậu sự đầy đủ trong vòng 30 ngày, bao gồm nguyên nhân gốc của việc lộ khóa, một dòng thời gian chi tiết, và các bước khắc phục cụ thể đang được triển khai.
Phản hồi của nền tảng nhìn chung khá minh bạch, tạo tiền lệ tích cực. Khi các nền tảng như Polymarket và Kalshi cạnh tranh giành thị phần, các sự cố bảo mật sẽ ngày càng ảnh hưởng đến niềm tin của người dùng và nhận thức của cơ quan quản lý. Một vụ vi phạm được xử lý tốt—với công bố nhanh chóng, truyền thông rõ ràng và chứng minh được mức độ được khống chế—có thể củng cố uy tín của một nền tảng.
