ZachXBT betegner Polyarb som et falsk forudsigelsesmarked med en aktiv »wallet drainer«

Hovedpunkter:

• ZachXBT advarede den 4. maj 2026 om, at Polyarb er vært for en aktiv wallet drainer, der er rettet mod kryptobrugere.
• Fremtrædende konti, der svarer på Polyarbs indlæg, forstærker svindlen over for nye målgrupper uden at være klar over det.
• Advarslen følger ZachXBT's nylige afsløring af et amerikansk advokatfirma, der søger 71 millioner dollars i frosne midler knyttet til Lazarus.

Hvad Polyarb gør

Wallet-drainere fungerer ved at forklæde en ondsindet godkendelse af et smart kontrakt som en rutinemæssig transaktion, således at når en bruger forbinder sin wallet og underskriver det, der ser ud til at være en indbetaling, en krav eller en markedsindtrængning, udløser drainer en skjult separat godkendelse, der giver angriberen fuld adgang til walletens midler.

ZachXBT fremhævede specifikt en forstærkningsrisiko, dvs. at en fremtrædende kryptokonto havde svaret på et Polyarb-indlæg, hvilket gav platformen en organisk rækkevidde, som den ellers ikke ville have opnået. At svare på indhold fra en svindelplatform, selv skeptisk, skubber den platform frem foran den svarende brugers hele publikum, som kan tælle i millioner, uden nogen indikation af, at kilden er ondsindet.

En del af en bredere udvikling

Falske decentraliserede finansierings- (DeFi) og forudsigelsesmarkedsplatforme er blevet en stadig mere almindelig angrebsvektor i 2026. Svindlere udnytter den voksende synlighed af legitime platforme som Polymarket og Kalshi, der begge har offentliggjort deres reguleringsmæssige forhold til Commodity Futures Trading Commission (CFTC), ved at oprette ligner-sider med lignende branding og uden reviderede kontrakter.

ZachXBT har opbygget en solid track record med at afsløre disse og andre relaterede trusler, inden der opstår betydelige tab. Tidligere på måneden afslørede efterforskeren, at et amerikansk advokatfirma (Gerstein Harrow) havde indgivet krav om beslaglæggelse af 71 millioner dollars i ethereum, der var indefrosset efter KelpDAO-udnyttelsen i april 2026, der var knyttet til Lazarus-gruppen, ved at bruge en retsafgørelse fra 2015 mod Nordkorea til at springe foran de egentlige hackingofre i enhver genopretningskø.

Sådan holder du dig sikker

Inden man forbinder en tegnebog til et forudsigelsesmarked eller en DeFi-platform, bør brugerne verificere kontraktadressen i forhold til platformens officielle dokumentation og bekræfte, at der findes en offentlig smartkontrakt-revision fra et velrenommeret sikkerhedsfirma. Røde flag inkluderer manglende offentliggjorte reguleringsforhold, manglende reviderede kontrakter og profiler på sociale medier, der er dukket op for nylig i forhold til deres påståede aktivitetsniveau.

Tilbagekaldelse af token-godkendelser efter enhver mistænkelig interaktion ved hjælp af værktøjer som Revoke.cash kan begrænse den løbende eksponering, hvis en drainer allerede er blevet udløst. Brug af en hardware-wallet i stedet for en browserbaseret hot wallet, der indeholder betydelige midler, når man forbinder sig til ukendte platforme, kan give et ekstra lag af beskyttelse, da hver transaktion kræver fysisk bekræftelse.