ZachXBT ระบุว่า Polyarb เป็นตลาดทำนายปลอม พร้อมวอลเล็ตที่กำลังทำการดึงเงินอยู่

นักสืบออนเชน ZachXBT ได้เตือนว่า Polyarb ซึ่งเป็นเว็บไซต์ที่แสดงตัวว่าเป็นแพลตฟอร์มตลาดคาดการณ์ กำลังดำเนินการดักระบายกระเป๋าเงิน (wallet drainer) แบบใช้งานอยู่ และกำลังขยายการเข้าถึงผ่านบัญชีคริปโตที่มีชื่อเสียงซึ่งเข้ามาตอบโพสต์ของมัน

ประเด็นสำคัญ:

• ZachXBT เตือนเมื่อวันที่ 4 พฤษภาคม 2026 ว่า Polyarb โฮสต์ wallet drainer ที่กำหนดเป้าหมายไปยังผู้ใช้คริปโต
• บัญชีที่มีชื่อเสียงซึ่งเข้ามาตอบโพสต์ของ Polyarb ช่วยขยายการหลอกลวงไปสู่ผู้ชมกลุ่มใหม่ โดยที่ไม่รู้ตัว
• การแจ้งเตือนนี้เกิดขึ้นหลังจาก ZachXBT เพิ่งเปิดโปงว่า ทนายความในสหรัฐฯ แห่งหนึ่งพยายามขอรับเงินมูลค่า 71 ล้านดอลลาร์สหรัฐ ในกองทุนแช่แข็งที่เชื่อมโยงกับ Lazarus

Polyarb กำลังทำอะไรอยู่

Wallet drainer ทำงานโดยปลอมการอนุมัติสัญญาอัจฉริยะที่เป็นอันตรายให้ดูเหมือนธุรกรรมปกติ ดังนั้นเมื่อผู้ใช้เชื่อมต่อวอลเล็ตและลงนามในสิ่งที่ดูเหมือนเป็นการฝาก ถอน การเรียกร้อง หรือการเริ่มต้นสถานะในตลาด ผู้ดักก็จะทริกเกอร์การอนุมัติแยกต่างหากที่ซ่อนไว้ ซึ่งมอบสิทธิ์เต็มรูปแบบให้ผู้โจมตีเข้าถึงเงินในวอลเล็ตได้

Image source: X ZachXBT ชี้ประเด็นความเสี่ยงด้านการขยายการเข้าถึงโดยตรง กล่าวคือ มีบัญชีคริปโตที่มีชื่อเสียงรายหนึ่งเข้ามาตอบโพสต์ของ Polyarb ทำให้แพลตฟอร์มได้รับการเข้าถึงแบบออร์แกนิกที่โดยปกติแล้วมันคงไม่ได้รับ เพียงแค่ตอบคอนเทนต์ของแพลตฟอร์มหลอกลวง แม้จะเป็นการตั้งข้อสงสัย ก็ดันแพลตฟอร์มดังกล่าวไปอยู่ตรงหน้าผู้ชมทั้งหมดของผู้ใช้ที่เข้ามาตอบ ซึ่งอาจมีจำนวนเป็น “ล้าน” โดยไม่มีสัญญาณบอกว่าต้นตอเป็นแหล่งที่มุ่งร้าย

ส่วนหนึ่งของเหตุการณ์ที่กว้างกว่า

แพลตฟอร์มปลอมในสายงานการเงินแบบกระจายอำนาจ (DeFi) และตลาดคาดการณ์ กลายเป็นช่องทางโจมตีที่พบบ่อยมากขึ้นในปี 2026 ผู้ดำเนินการหลอกลวงใช้ประโยชน์จากการที่แพลตฟอร์มที่ถูกกฎหมายได้รับความสนใจเพิ่มขึ้น เช่น Polymarket และ Kalshi ซึ่งทั้งคู่ได้เปิดเผยความสัมพันธ์ด้านการกำกับดูแลกับ Commodity Futures Trading Commission (CFTC) โดยการสร้างเว็บไซต์ที่หน้าตาคล้ายกันและใช้การทำแบรนด์คล้าย โดยไม่มีสัญญาที่ผ่านการตรวจสอบ (audit)

ZachXBT มีประวัติที่สม่ำเสมอในการเปิดเผยภัยคุกคามเหล่านี้และภัยที่เกี่ยวข้องก่อนที่ความสูญเสียครั้งใหญ่จะสะสมตัวได้ ในช่วงต้นเดือนนี้ นักสืบเปิดเผยว่า บริษัทกฎหมายในสหรัฐฯ (Gerstein Harrow) ยื่นคำร้องเพื่อยึดเงิน 71 ล้านดอลลาร์สหรัฐ ในอีเธอเรียมที่ถูกแช่แข็ง หลังจากเหตุ exploit ของ KelpDAO ในเดือนเมษายน 2026 ที่โยงกับกลุ่ม Lazarus โดยใช้คำพิพากษาทางกฎหมายในปี 2015 กับเกาหลีเหนือ เพื่อแซงขึ้นมาก่อนผู้เสียหายจากแฮกที่เกิดขึ้นจริงในคิวการเรียกคืน

วิธีการอยู่อย่างปลอดภัย

ก่อนที่จะเชื่อมต่อวอลเล็ตกับตลาดคาดการณ์หรือแพลตฟอร์ม DeFi ใด ๆ ผู้ใช้ควรตรวจสอบที่อยู่สัญญา (contract address) เทียบกับเอกสารทางการของแพลตฟอร์ม และยืนยันว่ามีรายงานการตรวจสอบสัญญาอัจฉริยะต่อสาธารณะจากบริษัทความปลอดภัยที่น่าเชื่อถืออยู่จริง สัญญาณเตือนรวมถึงการไม่เปิดเผยความสัมพันธ์ด้านการกำกับดูแล ไม่มีสัญญาที่ผ่านการตรวจสอบ และโปรไฟล์บนโซเชียลมีเดียที่เพิ่งปรากฏเมื่อเทียบกับระดับกิจกรรมที่อ้างว่าเป็น

การเพิกถอน token approvals หลังจากมีปฏิสัมพันธ์ที่น่าสงสัยใด ๆ โดยใช้เครื่องมืออย่าง Revoke.cash สามารถช่วยจำกัดการเปิดรับความเสี่ยงที่ยังดำเนินอยู่ได้ หากตัวดักได้ถูกทริกเกอร์ไปแล้ว การใช้ฮาร์ดแวร์วอลเล็ต แทนที่จะใช้ hot wallet บนเบราว์เซอร์ที่ถือเงินจำนวนมาก เมื่อเชื่อมต่อกับแพลตฟอร์มที่ไม่คุ้นเคย สามารถเพิ่มชั้นการป้องกันได้อีกหนึ่งระดับ เพราะทุกธุรกรรมต้องมีการยืนยันทางกายภาพ