ZachXBT cảnh báo Polyarb là thị trường dự đoán giả mạo có hoạt động rút tiền từ ví

Điểm chính:

• ZachXBT đã cảnh báo vào ngày 4 tháng 5 năm 2026 rằng Polyarb đang vận hành một chương trình rút tiền từ ví nhắm vào người dùng tiền điện tử.
• Các tài khoản nổi tiếng trả lời các bài đăng của Polyarb vô tình lan truyền trò lừa đảo này đến những đối tượng mới mà không hay biết.
• Cảnh báo này được đưa ra sau khi ZachXBT gần đây vạch trần một công ty luật của Mỹ đang tìm cách thu hồi 71 triệu USD từ các khoản tiền bị đóng băng liên quan đến Lazarus.

Polyarb đang làm gì

Các trình rút tiền ví hoạt động bằng cách ngụy trang việc phê duyệt hợp đồng thông minh độc hại thành một giao dịch thông thường, để khi người dùng kết nối ví của họ và ký vào những gì có vẻ là hành động gửi tiền, yêu cầu thanh toán hoặc tham gia thị trường, trình rút tiền sẽ kích hoạt một sự phê duyệt riêng biệt ẩn giấu, cho phép kẻ tấn công có toàn quyền truy cập vào tiền trong ví.

ZachXBT đặc biệt nhấn mạnh rủi ro khuếch đại, tức là một tài khoản tiền điện tử nổi tiếng đã trả lời một bài đăng trên Polyarb, mang lại cho nền tảng này mức độ tiếp cận tự nhiên mà nó không thể đạt được nếu không có sự kiện này. Việc trả lời nội dung của một nền tảng lừa đảo, ngay cả khi mang tính hoài nghi, cũng đẩy nền tảng đó lên trước toàn bộ khán giả của người dùng trả lời, có thể lên đến hàng triệu người, mà không có dấu hiệu nào cho thấy nguồn đó là độc hại.

Một phần của sự kiện rộng lớn hơn

Các nền tảng tài chính phi tập trung (DeFi) và thị trường dự đoán giả mạo đã trở thành một vector tấn công ngày càng phổ biến vào năm 2026. Các nhà điều hành lừa đảo lợi dụng sự nổi tiếng ngày càng tăng của các nền tảng hợp pháp như Polymarket và Kalshi — cả hai đều đã công bố mối quan hệ tuân thủ quy định với Ủy ban Giao dịch Hàng hóa Tương lai (CFTC) — bằng cách tạo ra các trang web nhái có thương hiệu tương tự nhưng không có hợp đồng được kiểm toán.

ZachXBT đã xây dựng được thành tích nhất quán trong việc phơi bày những mối đe dọa này và các mối đe dọa liên quan khác trước khi các tổn thất đáng kể tích lũy. Đầu tháng này, nhà điều tra này đã tiết lộ rằng một công ty luật của Mỹ (Gerstein Harrow) đã nộp đơn yêu cầu tịch thu 71 triệu đô la ethereum bị đóng băng sau vụ khai thác KelpDAO vào tháng 4 năm 2026 có liên quan đến Lazarus Group, bằng cách sử dụng phán quyết pháp lý năm 2015 chống lại Triều Tiên để vượt lên trước các nạn nhân bị hack thực sự trong bất kỳ hàng đợi thu hồi nào.

Cách bảo vệ an toàn

Trước khi kết nối ví với bất kỳ thị trường dự đoán hoặc nền tảng DeFi nào, người dùng nên xác minh địa chỉ hợp đồng với tài liệu chính thức của nền tảng và xác nhận rằng có bản kiểm toán hợp đồng thông minh công khai từ một công ty bảo mật uy tín. Các dấu hiệu cảnh báo bao gồm không có mối quan hệ quy định được công bố, không có hợp đồng được kiểm toán, và các tài khoản mạng xã hội xuất hiện gần đây so với mức độ hoạt động được tuyên bố.

Việc thu hồi các phê duyệt token sau bất kỳ tương tác đáng ngờ nào bằng các công cụ như Revoke.cash có thể hạn chế rủi ro tiếp diễn nếu một kẻ rút tiền đã được kích hoạt. Sử dụng ví phần cứng thay vì ví nóng dựa trên trình duyệt chứa số tiền lớn khi kết nối với các nền tảng lạ có thể cung cấp một lớp bảo vệ bổ sung, vì mọi giao dịch đều yêu cầu xác nhận vật lý.