นักสืบออนเชน ZachXBT ได้เตือนว่า Polyarb ซึ่งเป็นเว็บไซต์ที่นำเสนอตัวเองว่าเป็นแพลตฟอร์มตลาดพยากรณ์ กำลังรันตัวดูดกระเป๋า (wallet drainer) ที่ทำงานอยู่จริง และกำลังขยายการเข้าถึงผ่านบัญชีคริปโตชื่อดังที่เข้าไปตอบโพสต์ของมัน
ZachXBT ชี้ว่า Polyarb เป็นตลาดทำนายปลอมที่มีตัวดูดกระเป๋าเงินที่ยังทำงานอยู่
เขียนโดย
แชร์
ประเด็นสำคัญ:
- ZachXBT เตือนเมื่อวันที่ 4 พฤษภาคม 2026 ว่า Polyarb โฮสต์ตัวดูดกระเป๋า (wallet drainer) ที่ทำงานอยู่จริง โดยเล็งเป้าผู้ใช้คริปโต
- บัญชีชื่อดังที่เข้าไปตอบโพสต์ของ Polyarb ช่วยขยายการหลอกลวงไปสู่ผู้ชมกลุ่มใหม่โดยไม่รู้ตัว
- การแจ้งเตือนนี้เกิดขึ้นหลังจาก ZachXBT เพิ่งเปิดโปงสำนักงานกฎหมายสหรัฐฯ ที่พยายามเรียกเงิน 71 ล้านดอลลาร์จากเงินที่ถูกอายัดซึ่งเชื่อมโยงกับ Lazarus
Polyarb กำลังทำอะไรอยู่
ตัวดูดกระเป๋า (wallet drainer) ทำงานโดยปลอมการอนุมัติสัญญาอัจฉริยะที่เป็นอันตรายให้เหมือนเป็นธุรกรรมปกติ กล่าวคือ เมื่อผู้ใช้เชื่อมต่อกระเป๋าและลงนามในสิ่งที่ดูเหมือนการฝาก การเคลม หรือการเข้าร่วมตลาด ตัวดูดจะกระตุ้นการอนุมัติอีกชุดที่ถูกซ่อนไว้แยกต่างหาก ซึ่งมอบสิทธิ์ให้ผู้โจมตีเข้าถึงเงินในกระเป๋าได้ทั้งหมด
ZachXBT เน้นย้ำถึงความเสี่ยงด้านการขยายการเข้าถึงโดยเฉพาะ กล่าวคือมีบัญชีคริปโตชื่อดังได้เข้าไปตอบโพสต์ของ Polyarb ทำให้แพลตฟอร์มมีการเข้าถึงแบบออร์แกนิกที่โดยปกติแล้วคงทำไม่ได้ การไปตอบคอนเทนต์ของแพลตฟอร์มหลอกลวง แม้จะตอบแบบสงสัยหรือคัดค้าน ก็ยังผลักให้แพลตฟอร์มนั้นไปปรากฏต่อหน้าผู้ชมทั้งหมดของผู้ที่ตอบ ซึ่งอาจมีจำนวนเป็นล้าน โดยไม่มีสัญญาณใดๆ บอกว่าต้นทางเป็นอันตราย
เป็นส่วนหนึ่งของปรากฏการณ์ที่กว้างขึ้น
แพลตฟอร์มการเงินแบบกระจายศูนย์ (DeFi) และตลาดพยากรณ์ปลอม กลายเป็นช่องทางการโจมตีที่พบได้บ่อยขึ้นในปี 2026 ผู้ดำเนินการหลอกลวงอาศัยกระแสการมองเห็นที่เพิ่มขึ้นของแพลตฟอร์มที่ถูกต้องตามกฎหมายอย่าง Polymarket และ Kalshi ซึ่งทั้งคู่ได้เปิดเผยความสัมพันธ์ด้านกฎระเบียบกับ Commodity Futures Trading Commission (CFTC) โดยสร้างเว็บไซต์เลียนแบบที่ใช้แบรนดิ้งคล้ายกันและไม่มีสัญญาที่ผ่านการตรวจสอบ (audit)
ZachXBT สร้างผลงานอย่างต่อเนื่องในการเปิดโปงภัยคุกคามเหล่านี้และภัยที่เกี่ยวข้องอื่นๆ ก่อนที่จะเกิดความสูญเสียจำนวนมากสะสม ในช่วงต้นเดือนนี้ นักสืบรายนี้เปิดเผยว่าสำนักงานกฎหมายสหรัฐฯ (Gerstein Harrow) ได้ยื่นคำร้องเรียกร้องเพื่อ ยึดเงิน 71 ล้านดอลลาร์ ใน ethereum ที่ถูกอายัดหลังเหตุโจมตี KelpDAO เมื่อเดือนเมษายน 2026 ซึ่งเชื่อมโยงกับ Lazarus Group โดยใช้อำนาจคำพิพากษาทางกฎหมายตั้งแต่ปี 2015 ที่มีต่อเกาหลีเหนือ เพื่อแซงหน้าผู้เสียหายจากการแฮ็กจริงในลำดับการกู้คืนเงินใดๆ
วิธีอยู่ให้ปลอดภัย
ก่อนเชื่อมต่อกระเป๋าเข้ากับตลาดพยากรณ์หรือแพลตฟอร์ม DeFi ใดๆ ผู้ใช้ควรตรวจสอบที่อยู่สัญญา (contract address) เทียบกับเอกสารทางการของแพลตฟอร์ม และยืนยันว่ามีรายงานตรวจสอบสัญญาอัจฉริยะ (smart contract audit) แบบสาธารณะจากบริษัทด้านความปลอดภัยที่น่าเชื่อถือ สัญญาณอันตราย ได้แก่ ไม่มีการเปิดเผยความสัมพันธ์ด้านกฎระเบียบ ไม่มีสัญญาที่ผ่านการตรวจสอบ และโปรไฟล์โซเชียลมีเดียที่เพิ่งสร้างเมื่อไม่นานนี้เมื่อเทียบกับระดับกิจกรรมที่อ้าง
การเพิกถอนการอนุมัติโทเคน (token approvals) หลังมีปฏิสัมพันธ์ที่น่าสงสัย โดยใช้เครื่องมืออย่าง Revoke.cash สามารถจำกัดความเสี่ยงต่อเนื่องได้หากตัวดูดถูกกระตุ้นไปแล้ว การใช้ฮาร์ดแวร์วอลเล็ตแทนฮอตวอลเล็ตบนเบราว์เซอร์ที่เก็บเงินจำนวนมาก เมื่อเชื่อมต่อกับแพลตฟอร์มที่ไม่คุ้นเคย สามารถเพิ่มชั้นการป้องกันได้อีกระดับ เพราะทุกธุรกรรมต้องมีการยืนยันทางกายภาพ
