ZachXBT 將 Polyarb 標記為假預測市場，且附有活躍的錢包清算器

鏈上調查員 ZachXBT 警告，Polyarb 是一個宣稱自己是預測市場平台的網站，正運作中的錢包竊取器（wallet drainer），並透過回覆其貼文的知名加密帳號擴散影響力。

重點整理：

• ZachXBT 於 2026 年 5 月 4 日警告，Polyarb 托管一個正在運作的錢包竊取器，目標是加密用戶。
• 知名帳號回覆 Polyarb 貼文，會在未察覺的情況下把詐騙擴散到新的受眾。
• 此警示是在 ZachXBT 近期揭露一間美國律師事務所正尋求 7100 萬美元、以凍結資金（與 Lazarus 有關）為標的之後出現。

Polyarb 正在做什麼

錢包竊取器會透過把惡意智慧合約的核准（approval）偽裝成例行交易來運作。當用戶連接錢包並簽署看似是存款、領取或進入市場的動作時，竊取器就會觸發一個隱藏的、獨立的核准，授予攻擊者對錢包資金的完全存取權。

圖片來源：X ZachXBT 特別點出放大風險（amplification risk），例如：某個知名加密帳號回覆了 Polyarb 的貼文，讓該平台獲得它原本不會有的自然觸及。即使以懷疑的方式回覆詐騙平台的內容，也會把該平台推到回覆用戶的整個受眾面前，而這些受眾數量可能達到數百萬，且不會顯示來源為惡意。

更大事件的一部分

假冒去中心化金融（DeFi）與預測市場平台，已在 2026 年成為越來越常見的攻擊手法。詐騙操作者會利用 Polymarket 與 Kalshi 等日益提高能見度、且都已披露與商品期貨交易委員會（CFTC）存在監管關係的正規平台，建立外觀相似、品牌相近的仿冒網站，並且不提供經過審核的合約。

ZachXBT 已建立一貫的紀錄：在重大損失累積之前先揭露這些以及其他相關威脅。就在本月初，該調查員透露：一間美國律師事務所（Gerstein Harrow）已提出主張，欲扣押 7100 萬美元的以太幣凍結資金，該資金源自 2026 年 4 月、與 Lazarus 集團相關的 KelpDAO 之爆利用案；他們還使用了一項 2015 年針對北韓的法律判決，藉此在任何可能的追償隊列中搶先於實際的駭客受害者。

如何保持安全

在連接任何預測市場或 DeFi 平台的錢包之前，用戶應該將合約地址與平台的官方文件進行核對，並確認是否存在來自具公信力的資安公司的公開智慧合約審計。警訊包括：未披露監管關係、沒有經審計的合約，以及社群媒體個人資料相對於其宣稱的活動程度顯得較為近期。

如果竊取器已經被觸發，則可以在任何可疑互動後撤銷代幣核准，使用像 Revoke.cash 之類的工具來降低持續暴露。當連接到陌生平台時，使用硬體錢包而不是持有大量資金的瀏覽器型熱錢包，能提供額外保護，因為每一筆交易都需要進行實體確認。