ZachXBT викрив Polyarb як фейковий прогнозний ринок із активним дренером гаманців

Ончейн-детектив ZachXBT попередив, що Polyarb, сайт, який позиціонує себе як платформа прогнозних ринків, запустив активний дрейнер гаманців і нарощує охоплення завдяки впливовим криптоакаунтам, які відповідають на його публікації.

Основні висновки:

• ZachXBT попередив 4 травня 2026 року, що Polyarb розміщує активний дрейнер гаманців, який націлений на користувачів криптовалют.
• Впливові акаунти, що відповідають на публікації Polyarb, підсилюють аферу для нових аудиторій, навіть не усвідомлюючи цього.
• Повідомлення з’явилося після нещодавнього викриття ZachXBT: у США юридична фірма намагалася отримати $71 мільйон заморожених коштів, пов’язаних із Lazarus.

Що робить Polyarb

Дрейнери гаманців працюють так: вони маскують шкідливе схвалення смартконтракту під звичайний запит на транзакцію. У результаті, коли користувач підключає гаманець і підписує те, що виглядає як депозит, вимога винагороди або вхід на ринок, дрейнер запускає приховане окреме схвалення, яке надає атакувальнику повний доступ до коштів у гаманці.

Image source: X ZachXBT зокрема підкреслив ризик підсилення, тобто те, що впливовий криптоакаунт відповів на пост Polyarb, давши платформі органічне охоплення, якого вона інакше б не досягла. Публічні відповіді на контент шахрайської платформи, навіть із скепсисом, виносять її перед усією аудиторією користувача, який відповідає: вона може сягати мільйонів, і без будь-яких ознак, що джерело є шкідливим.

Частина ширшого явища

Фальшиві платформи DeFi ( децентралізованих фінансів ) і прогнозних ринків у 2026 році стали дедалі поширенішим вектором атак. Оператори шахрайства використовують зростаючу видимість законних платформ на кшталт Polymarket і Kalshi, обидві з яких розкривали регуляторні зв’язки з Commodity Futures Trading Commission (CFTC), створюючи сайти-двійники з подібним брендингом і без перевірених (audited) контрактів.

ZachXBT вибудував послідовний послужний список викриття цих та інших пов’язаних загроз до того, як збереться значна кількість втрат. На початку цього місяця дослідник повідомив, що американська юридична фірма (Gerstein Harrow) подала позови, щоб вилучити $71 мільйон у ethereum, заморожених після експлойту KelpDAO у квітні 2026 року, пов’язаного з Lazarus Group. Для цього вона використала юридичне рішення 2015 року проти Північної Кореї, щоб обійти фактичних жертв хакерства в будь-якій черзі на відшкодування.

Як залишатися в безпеці

Перш ніж підключати гаманець до будь-якого прогнозного ринку або платформи DeFi, користувачам слід звірити адресу контракту з офіційною документацією платформи та переконатися, що існує публічний аудит смартконтракту від авторитетної компанії з безпеки. Ознаки ризику включають відсутність розкритого регуляторного зв’язку, відсутність перевірених контрактів і профілі в соцмережах, які з’явилися нещодавно відносно заявленого рівня активності.

Скасування токенних схвалень після будь-якої підозрілої взаємодії за допомогою інструментів на кшталт Revoke.cash може обмежити подальший вплив, якщо дрейнер уже спрацював. Використання апаратного гаманця замість браузерного hot wallet, що зберігає значні кошти, під час підключення до незнайомих платформ може додати ще один рівень захисту, оскільки кожна транзакція потребує фізичного підтвердження.