Polymarket компенсує $3 млн після атаки через зламаного підрядника: аналіз інциденту
Платформа прогнозних ринків Polymarket офіційно заявила про повну компенсацію втрат користувачів, які постраждали від кібератаки, здійсненої через злам стороннього вендора. За оцінками ончейн-аналітиків, збитки склали близько $3 млн. Інцидент знову порушує питання безпеки децентралізованих додатків, особливо щодо їхньої залежності від зовнішніх постачальників інфраструктури.
Деталі зламу
Згідно із заявою команди Polymarket, шкідливий скрипт був впроваджений у фронтенд платформи для частини користувачів після компрометації стороннього підрядника. Проблему вдалося локалізувати, а заражену залежність — видалити. Представник платформи Коннор Бранді підтвердив факт крадіжки коштів, але відмовився від додаткових коментарів.
Аналітики з PeckShield оцінили збитки у $3 млн, а дослідник під псевдонімом Specter уточнив цифру в $2,94 млн, зазначивши, що постраждало понад 11 гаманців. За даними Bubblemaps, атака торкнулася менш ніж 15 акаунтів, і потенційні збитки вдалося значною мірою обмежити. Зловмисники виводили токени pUSD, забезпечені USDC у співвідношенні 1:1 через смарт-контракт на Polygon, після чого конвертували їх в ETH та консолідували на одному Ethereum-адресі, де кошти залишаються на момент написання аналізу.
Вразливість — не смарт-контракти, а інтерфейс
Важливо підкреслити: атака була спрямована на користувацький інтерфейс, а не на базові смарт-контракти Polymarket. Це означає, що протокол як такий не був зламаний — проблема критися в довіреній, але слабо захищеній інфраструктурі підрядника. Компанія поки не розкрила, який саме вендор був скомпрометований і як довго шкідливий код був присутній на сайті.
Повторюваний патерн
Це вже третій подібний інцидент за останні пів року. У травні 2026 року Polymarket зіткнулася з компрометацією закритого ключа гаманця для внутрішніх операцій, що призвело до збитків близько $700 000. У грудні 2025 року платформа повідомляла про злам користувацьких акаунтів через вразливість у стороннього провайдера. Системна проблема очевидна: Polymarket неодноразово стає жертвою атак не через свій код, а через треті сторони, що свідчить про недостатній аудит зовнішніх інтеграцій.
На тлі частіших зламів інших протоколів — Ekubo, THORChain, Verus, Echo та Map Protocol — цей інцидент є черговим нагадуванням: у DeFi безпека ланцюжка постачання програмного забезпечення стає критичним фактором, який не можна ігнорувати.
Мій аналіз: Компенсація втрат — правильний, але запізнілий крок. Polymarket необхідно кардинально переглянути політику роботи з підрядниками та впровадити обов'язковий аудит усіх зовнішніх залежностей. Інакше репутація платформи, особливо напередодні можливого регуляторного тиску, буде підірвана остаточно. Ринок прогнозів надто цінний, щоб ризикувати ним через халатність у виборі вендорів.