Polymarket компенсує втрати користувачів після злому через підрядника: збитки оцінені в $3 млн
Платформа децентралізованих прогнозів Polymarket оголосила про повне відшкодування збитків користувачам, які постраждали внаслідок атаки, проведеної через компрометацію стороннього підрядника. За даними ончейн-аналітиків, сума викрадених коштів склала близько $3 млн.
Інцидент було виявлено вранці, коли команда платформи виявила, що шкідливий скрипт було впроваджено у фронтенд для частини користувачів. У заяві представники Polymarket уточнили, що проблема локалізована, зачеплену залежність видалено, а всі постраждалі користувачі отримають повне відшкодування.
Деталі атаки
Згідно з даними аналітичної платформи PeckShield, зловмисники вивели з гаманців користувачів стейблкоїн pUSD, забезпечений USDC у співвідношенні 1:1 у мережі Polygon. Після цього кошти були обміняні на ETH та переміщені на єдину Ethereum-адресу, де на момент написання звіту все ще залишалися. Аналітик під псевдонімом Specter оцінив втрати у $2,94 млн та зафіксував понад 11 скомпрометованих гаманців.
Bubblemaps підтвердили, що атака торкнулася менш ніж 15 акаунтів, та опублікували частину адрес жертв. Важливо зазначити, що інцидент торкнувся виключно інтерфейсу користувача — смарт-контракти Polymarket залишилися недоторканими. Компанія поки не розкрила, який саме підрядник був зламаний і як довго шкідливий код був присутній на сайті.
Проблема безпеки, що повторюється
Це вже другий інцидент безпеки для Polymarket за останні місяці. У травні платформа зіткнулася з компрометацією закритого ключа гаманця, що використовувався для внутрішніх операцій, що призвело до збитків близько $700 000, хоча кошти користувачів тоді не постраждали. У грудні 2025 року також фіксувався злам акаунтів через вразливість у стороннього провайдера — точні цифри та ім'я підрядника не розкривалися.
Мій аналіз: Інциденти, що повторюються із залученням сторонніх підрядників, вказують на системну проблему в управлінні ланцюгами постачання у DeFi. Polymarket необхідно не лише посилювати внутрішню безпеку, але й впроваджувати суворі аудити для всіх зовнішніх інтеграцій. Інакше довіра користувачів, яка вже підірвана, продовжить знижуватися, а це критично для платформи, що працює з реальними грошима.