分散型予測市場Polymarketの一部インフラに利用されている「UMAプロトコル」のアダプター契約に脆弱性が見つかり、約60万ドル相当の暗号資産が不正に流出した。問題の契約は2022年に統合された、予測市場の結果を確定させるための重要な仕組みの一部だ。
Polymarketのチームは声明で「ユーザー資金は安全だ」と説明しているが、オンチェーン上のデータは攻撃が短時間で進行したことを示している。本稿では、この事件の概要と技術的な背景、そしてDeFiプロジェクトが依存する外部プロトコルのリスクについて解説する。
事件の経緯、継続的な不正流出の実態
不正な流出が最初に確認されたのは2026年5月22日だ。ブロックチェーン分析プラットフォームのBubblemapsは、攻撃者のものとみられるアドレスが約30秒ごとに5,000POL(Polygonのネイティブトークン)を抜き取り続けているとX(旧Twitter)で報告した。本稿執筆時点で、被害総額は約60万ドルに達していると推定されている。
この「POL」はPolygonネットワーク上のガス代やステーキングに使われるトークンであり、以前は「MATIC」として知られていたものだ。
別のブロックチェーンデータプラットフォームLookonchainも、世界協定時(UTC)の午前9時1分までに、Polymarket関連のコントラクトから約66万ドルが流出したと試算している。これら複数のデータプロバイダーによる同様の報告から、単独の監視ツールの誤検知ではなく、実際の悪意ある活動が起きていることはほぼ確実だ。
攻撃の構造は「30秒ごとに少量ずつ」
この攻撃の特徴は、短い間隔で比較的少量のトークンを継続的に送金している点にある。一瞬で巨額を抜き取る「フラッシュローン攻撃」などと異なり、発見を遅らせようとする意図がうかがえる。とはいえ、オンチェーンデータはすべて公開されており、分析ツールの進化によってこのようなパターンも即座に可視化される時代になっている。
なぜUMAアダプターが狙われたのか
問題の核心は、Polymarketが2022年2月3日に統合した「UMAのオプティミスティック・オラクル」にある。専門的でややこしいが、ここでのポイントを整理する。
「楽観的」なオラクルの仕組み
オラクルとは、ブロックチェーンの外にある現実世界の情報(選挙結果やスポーツの勝敗など)を、チェーン上のスマートコントラクトに伝える橋渡し役だ。UMAの「オプティミスティック(楽観的)」な方式は、基本的に提出された情報を「正しい」と仮定して処理を進める。もしその情報が間違っていると考える人がいれば、異議申し立てを行える仕組みになっている。
つまり、すべてを厳格に検証するのではなく、異議がなければそのまま通すという「性善説」に近い設計だ。これは処理の高速化とコスト削減に貢献する一方、異議申し立てのプロセス自体に問題があったり、そもそも異議が申し立てられなければ、誤った情報が「真実」として確定してしまうリスクもはらんでいる。
攻撃の推定シナリオ
Cointelegraphの報道によれば、今回の攻撃はこのオプティミスティック・オラクルの「アダプター」部分を標的にした可能性が高い。アダプターとは、UMAの汎用的なオラクル機能を、Polymarketという特定のサービスで使えるように翻訳・接続するためのカスタム部品のようなものだ。
攻撃者はこのアダプター契約の脆弱性を突き、実際の予測とは無関係に、まるで正当な結果報告であるかのように偽装して報酬を引き出したとみられている。Polymarket側が「ユーザー資金は安全」と述べていることから、被害はPolymarket本体の資金プールではなく、このアダプター契約が管理していた流動性などに限定されている可能性がある。
ユーザーへの影響とPolymarketの対応
Polymarketのチームは公式に「ユーザーの資金は安全である」との声明を出した。これは、ユーザーが個別に預けている予測用の資金が直接盗まれたわけではないことを意味する。
しかし、今回の事件はプラットフォームの信頼性にとって打撃となる。予測市場は「最終的な結果の確定」が正確に行われるという信用が生命線だ。その根幹を支えるオラクル部分で不正が行われた事実は、たとえユーザー資産が直接影響を受けていなくとも、サービスの根幹を揺るがしかねない。
CointelegraphはPolymarketとUMAの両方にコメントを求めたが、記事の公開時点ではまだ回答を得られていない。つまり、UMA側やPolymarket側からの詳細な技術レポートや再発防止策の発表はこれから、という段階だ。
DeFiの「接続部分」が抱える構造的リスク
今回の事件は、単独のプロジェクトの不備というより、分散型金融(DeFi)業界全体に通じる「コンポーザビリティ(組み合わせ可能性)」の影の側面を示している。
強みがそのまま弱点に
DeFiの強みは、まるでレゴブロックのように異なるプロトコルを組み合わせ、複雑な金融サービスを構築できることだ。Polymarketが一からオラクルを開発する代わりに、UMAという専門プロトコルの技術を「部品」として採用したのは合理的な判断だった。
だが、これは同時に、UMAという外部部品に問題が発生した場合、Polymarketのサービスにも直接影響が及ぶことを意味する。自前ですべてを管理していれば防げたかもしれないリスクを、開発効率や機能性と引き換えに受け入れているのだ。要は、複雑な機械ほど、一つの歯車の狂いが全体を止める危険性をはらんでいる、ということに近い。
アダプター契約という盲点
さらに注目すべきは、攻撃対象がUMAのコアプロトコル本体ではなく、「アダプター契約」だった点だ。
コア部分は多くのプロジェクトが利用するため、厳格な監査を受けるのが一般的だ。一方、特定のサービスに接続するためのアダプター部分は、個別の開発チームが作成することが多く、監査の目が行き届きにくい場所になる。攻撃者はまさにその隙を突いた。この事件は、DeFiプロジェクトにおいて「本線」だけでなく「引き込み線」のセキュリティも同様に重要だという警鐘を鳴らしている。
この記事のポイント
- Polymarketが使用するUMAオプティミスティック・オラクルのアダプター契約に脆弱性が見つかり、約60万ドル超の資産が不正流出した。
- Polymarketはユーザー資金の安全性を表明しており、被害は特定のコントラクト内の資金に限定されているもよう。
- 攻撃は少量を継続的に抜き取る手口で行われ、複数の分析プラットフォームがリアルタイムでこれを検知・報告した。
- 高度に専門化したDeFiの世界では、複数のプロトコルを「つなぐ」部分のセキュリティが、しばしば構造的な弱点となる実例を示した。
暗号資産とブロックチェーンの可能性を追求するエミリー。
暗号資産投資、DeFi、NFT、WEB3、メタバースといった最先端分野を深く理解し、「エミリーズ・クリプト・インサイダー」を運営。
分かりやすい解説で、ブロックチェーン革命の潮流を一般に広めることを目指す。初心者から上級者まで、最新情報を求めるすべての人に役立つ情報発信を心がけている。