Nagbabala ang onchain investigator na si ZachXBT na ang Polyarb, isang site na nagpapakilalang prediction market platform, ay nagpapatakbo ng aktibong wallet drainer at lumalawak ang naaabot nito sa pamamagitan ng mga kilalang crypto account na nagre-reply sa mga post nito.
Binabalaan ni ZachXBT ang Polyarb bilang Pekeng Prediction Market na may Aktibong Wallet Drainer
ISINULAT NI
IBAHAGI
Mahahalagang Punto:
- Nagbabala si ZachXBT noong Mayo 4, 2026, na ang Polyarb ay may naka-host na aktibong wallet drainer na tumatarget sa mga crypto user.
- Ang mga kilalang account na nagre-reply sa mga post ng Polyarb ay hindi sinasadyang nagpapalakas ng scam sa mga bagong audience nang hindi nila namamalayan.
- Kasunod ang alerto sa kamakailang paglalantad ni ZachXBT sa isang U.S. law firm na naghahangad ng $71 milyon sa mga naka-freeze na pondo na konektado sa Lazarus.
Ano ang Ginagawa ng Polyarb
Gumagana ang mga wallet drainer sa pamamagitan ng pagtatago ng isang mapaminsalang pag-apruba ng smart contract bilang isang karaniwang transaksyon, kaya kapag ikinonekta ng user ang kanilang wallet at pinirmahan ang mukhang deposit, claim, o market entry na aksyon, pinapagana ng drainer ang isang nakatagong hiwalay na pag-apruba na nagbibigay sa attacker ng ganap na access sa mga pondo ng wallet.
Partikular na binigyang-diin ni ZachXBT ang panganib ng pagpapalawak (amplification risk), ibig sabihin, may isang kilalang crypto account na nag-reply sa isang post ng Polyarb, na nagbigay sa platform ng organikong abot na hindi nito makakamit kung hindi. Ang pagre-reply sa content ng isang scam platform, kahit na may pagdududa, ay itinutulak ang platform na iyon sa harap ng buong audience ng nagre-reply na user, na maaaring umabot sa milyon-milyon, nang walang anumang palatandaan na ang pinagmulan ay mapaminsala.
Bahagi ng Mas Malawak na Nangyayari
Ang mga pekeng decentralized finance (DeFi) at prediction market platform ay naging mas karaniwang attack vector sa 2026. Sinasamantala ng mga scam operator ang lumalaking visibility ng mga lehitimong platform tulad ng Polymarket at Kalshi, na kapwa nagbunyag ng mga ugnayang pang-regulasyon sa Commodity Futures Trading Commission (CFTC), sa pamamagitan ng paglikha ng mga kahawig na site na may katulad na branding at walang na-audit na mga kontrata.
Nakabuo si ZachXBT ng tuloy-tuloy na rekord ng paglalantad sa mga ito at iba pang kaugnay na banta bago pa maipon ang malalaking pagkalugi. Mas maaga ngayong buwan, ibinunyag ng investigator na ang isang U.S. law firm (Gerstein Harrow) ay nagsampa ng mga claim na naglalayong agawin ang $71 milyon sa ethereum na na-freeze matapos ang Abril 2026 KelpDAO exploit na konektado sa Lazarus Group, gamit ang isang hatol na legal noong 2015 laban sa North Korea upang mauna sa mga tunay na biktima ng hack sa anumang pila ng pagbawi.
Paano Manatiling Ligtas
Bago ikonekta ang wallet sa anumang prediction market o DeFi platform, dapat beripikahin ng mga user ang contract address laban sa opisyal na dokumentasyon ng platform at tiyaking may pampublikong smart contract audit mula sa isang kagalang-galang na security firm. Kabilang sa mga red flag ang kawalan ng ibinunyag na ugnayang pang-regulasyon, kawalan ng na-audit na mga kontrata, at mga social media profile na kamakailan lamang lumitaw kumpara sa kanilang sinasabing antas ng aktibidad.
Ang pagbawi (revoking) ng mga token approval matapos ang anumang kahina-hinalang interaksyon gamit ang mga tool tulad ng Revoke.cash ay makakapaglimita sa patuloy na exposure kung na-trigger na ang drainer. Ang paggamit ng hardware wallet, sa halip na browser-based hot wallet na may hawak na malaking pondo, kapag kumokonekta sa mga hindi pamilyar na platform, ay makapagbibigay ng dagdag na patong ng proteksyon, dahil ang bawat transaksyon ay nangangailangan ng pisikal na kumpirmasyon.
