Onchain-etterforsker ZachXBT har advart om at Polyarb, et nettsted som utgir seg for å være en plattform for prediksjonsmarkeder, kjører en aktiv wallet drainer og får økt rekkevidde gjennom fremtredende kryptokontoer som svarer på innleggene deres.
ZachXBT flagger Polyarb som et falskt prediksjonsmarked med en aktiv wallet-drainer
SKREVET AV
DEL
Viktige punkter:
- ZachXBT advarte 4. mai 2026 om at Polyarb er vert for en aktiv wallet drainer som retter seg mot kryptobrukere.
- Fremtredende kontoer som svarer på Polyarb-innlegg forsterker svindelen til nye publikum uten å være klar over det.
- Varslingen følger ZachXBTs nylige avsløring av et amerikansk advokatfirma som søker 71 millioner dollar i Lazarus-koblede fryste midler.
Hva Polyarb gjør
Wallet drainers fungerer ved å kamuflere en ondsinnet godkjenning av en smartkontrakt som en rutinemessig transaksjon, slik at når en bruker kobler til lommeboken sin og signerer det som ser ut som et innskudd, en «claim» eller en handling for å gå inn i et marked, utløser draineren en skjult separat godkjenning som gir angriperen full tilgang til midlene i lommeboken.
ZachXBT fremhevet spesielt en forsterkningsrisiko, dvs. at en fremtredende kryptokonto hadde svart på et Polyarb-innlegg og dermed gitt plattformen organisk rekkevidde den ellers ikke ville fått. Å svare på innhold fra en svindelplattform, selv skeptisk, skyver den plattformen foran hele publikumet til brukeren som svarer, som kan være i milliontall, uten noen indikasjon på at kilden er ondsinnet.
Del av noe større
Falske desentraliserte finansplattformer (DeFi) og prediksjonsmarkedsplattformer har blitt en stadig mer vanlig angrepsvektor i 2026. Svindelaktører utnytter den økende synligheten til legitime plattformer som Polymarket og Kalshi, som begge har opplyst om regulatoriske relasjoner med Commodity Futures Trading Commission (CFTC), ved å lage look-alike-nettsteder med lignende profilering og uten reviderte kontrakter.
ZachXBT har bygget opp en solid historikk med å avsløre disse og andre relaterte trusler før betydelige tap akkumuleres. Tidligere denne måneden avslørte etterforskeren at et amerikansk advokatfirma (Gerstein Harrow) hadde levert krav med mål om å beslaglegge 71 millioner dollar i ethereum som ble fryst etter KelpDAO-utnyttelsen i april 2026, knyttet til Lazarus Group, ved å bruke en rettsavgjørelse fra 2015 mot Nord-Korea for å komme foran de faktiske hack-ofrene i enhver kø for tilbakeføring av midler.
Hvordan holde seg trygg
Før man kobler en lommebok til et prediksjonsmarked eller en DeFi-plattform, bør brukere verifisere kontraktadressen mot plattformens offisielle dokumentasjon og bekrefte at det finnes en offentlig smartkontrakt-revisjon fra et anerkjent sikkerhetsselskap. Røde flagg inkluderer ingen opplyst regulatorisk relasjon, ingen reviderte kontrakter og profiler på sosiale medier som dukket opp nylig i forhold til deres påståtte aktivitetsnivå.
Å tilbakekalle token-godkjenninger etter enhver mistenkelig interaksjon ved hjelp av verktøy som Revoke.cash kan begrense videre eksponering dersom en drainer allerede er utløst. Å bruke en hardware-lommebok, i stedet for en nettleserbasert hot wallet som holder betydelige midler, når man kobler til ukjente plattformer, kan gi et ekstra lag med beskyttelse, siden hver transaksjon krever fysisk bekreftelse.
