ZachXBT segnala Polyarb come un mercato di predizioni fasullo che prosciuga attivamente i portafogli

• Il 4 maggio 2026, ZachXBT ha avvertito che Polyarb ospita un sistema attivo di svuotamento dei portafogli che prende di mira gli utenti di criptovalute.
• Gli account di spicco che rispondono ai post di Polyarb amplificano la truffa raggiungendo un nuovo pubblico senza rendersene conto.
• L'allerta fa seguito alla recente denuncia di ZachXBT relativa a uno studio legale statunitense che cercava di recuperare 71 milioni di dollari in fondi congelati collegati a Lazarus.

Cosa sta facendo Polyarb

I drainer di portafogli funzionano mascherando l'approvazione di uno smart contract dannoso come una transazione di routine, in modo tale che quando un utente collega il proprio portafoglio e firma quella che sembra essere un'operazione di deposito, richiesta o ingresso nel mercato, il drainer attiva un'approvazione separata nascosta che garantisce all'autore dell'attacco l'accesso completo ai fondi del portafoglio.

ZachXBT ha specificatamente evidenziato un rischio di amplificazione, ovvero il fatto che un account crypto di rilievo avesse risposto a un post di Polyarb, dando alla piattaforma una visibilità organica che altrimenti non avrebbe ottenuto. Rispondere al contenuto di una piattaforma truffaldina, anche se con scetticismo, porta quella piattaforma sotto gli occhi dell’intero pubblico dell’utente che risponde, che può ammontare a milioni di persone, senza alcuna indicazione che la fonte sia dannosa.

Parte di un fenomeno più ampio

Le piattaforme fasulle di finanza decentralizzata (DeFi) e di mercati predittivi sono diventate un vettore di attacco sempre più comune nel 2026. Gli operatori di truffe sfruttano la crescente visibilità di piattaforme legittime come Polymarket e Kalshi, entrambe le quali hanno reso note le loro relazioni normative con la Commodity Futures Trading Commission (CFTC), creando siti simili con un branding analogo e senza contratti sottoposti a revisione.

ZachXBT ha costruito una solida reputazione nell'individuare queste e altre minacce correlate prima che si accumulino perdite significative. All'inizio di questo mese, l'investigatore ha rivelato che uno studio legale statunitense (Gerstein Harrow) aveva presentato istanze per sequestrare 71 milioni di dollari in ethereum congelati dopo l'exploit di KelpDAO dell'aprile 2026 legato al Gruppo Lazarus, utilizzando una sentenza legale del 2015 contro la Corea del Nord per scavalcare le vittime effettive dell'hacking in qualsiasi lista d'attesa per il recupero.

Come proteggersi

Prima di collegare un portafoglio a qualsiasi mercato di previsione o piattaforma DeFi, gli utenti dovrebbero verificare l'indirizzo del contratto rispetto alla documentazione ufficiale della piattaforma e confermare l'esistenza di un audit pubblico dello smart contract da parte di una società di sicurezza affidabile. Tra i segnali di allarme figurano l'assenza di rapporti normativi dichiarati, l'assenza di contratti sottoposti ad audit e profili sui social media apparsi di recente rispetto al livello di attività dichiarato.

Revocare le approvazioni dei token dopo qualsiasi interazione sospetta utilizzando strumenti come Revoke.cash può limitare l'esposizione in corso se un drainer è già stato attivato. L'utilizzo di un portafoglio hardware, piuttosto che di un hot wallet basato su browser che contiene fondi significativi, quando ci si connette a piattaforme sconosciute, può fornire un ulteriore livello di protezione, poiché ogni transazione richiede una conferma fisica.