Атака на Polymarket через стороннього підрядника: платформа обіцяє повне відшкодування збитків
Платформа прогнозних ринків Polymarket підтвердила факт атаки, яка призвела до крадіжки близько $3 млн у користувачів. Інцидент стався через компрометацію стороннього підрядника, що дозволило зловмисникам впровадити шкідливий скрипт у фронтенд сайту. Представники Polymarket заявили, що вже локалізували проблему та видалили небезпечну залежність, а постраждалим користувачам буде повністю відшкодовано збитки.
Деталі атаки та масштаб збитків
За даними ончейн-аналітиків, атака торкнулася менш ніж 15 акаунтів. Зловмисники вивели токени pUSD з гаманців користувачів. Нагадаю, що pUSD — це власний стейблкоїн Polymarket у мережі Polygon, забезпечений USDC у співвідношенні 1:1 через смарт-контракт. Після виведення викрадені активи були конвертовані в ETH та зібрані на одному Ethereum-адресі. На момент аналізу кошти залишалися на цій адресі, що вказує на можливе очікування зловмисниками сприятливого моменту для їх відмивання.
Важливо підкреслити: атака була спрямована саме на користувацький інтерфейс, а не на смарт-контракти платформи. Це означає, що базова інфраструктура Polymarket залишилася недоторканою, що дещо знижує системні ризики, але не применшує серйозності інциденту для постраждалих.
Тривожний тренд: третій інцидент за півроку
Це вже не перший випадок, коли Polymarket стикається з проблемами безпеки. У травні 2026 року платформа повідомила про компрометацію закритого ключа гаманця, що використовувався для внутрішніх операцій. Тоді збитки склали близько $700 000, хоча користувацькі кошти офіційно не постраждали. А в грудні 2025 року стався злам кількох акаунтів через вразливість у стороннього провайдера — точні суми та кількість постраждалих тоді не розголошувалися.
Така повторюваність інцидентів, особливо за участю сторонніх підрядників, викликає серйозні питання до процесів due diligence та управління ризиками в Polymarket. Для платформи, яка претендує на лідерство в секторі прогнозних ринків, подібні «дитячі хвороби» у сфері безпеки є неприпустимими.
Мій експертний коментар
Незважаючи на швидке реагування та обіцянку повного відшкодування, Polymarket необхідно кардинально переглянути свою модель безпеки. Повторні атаки через сторонніх підрядників вказують на системну проблему в ланцюжку постачання програмного забезпечення. Ринку потрібні не просто обіцянки компенсацій, а прозорі аудити та впровадження багаторівневого захисту, включаючи ізоляцію критичних компонентів від сторонніх залежностей. Інакше наступний інцидент може виявитися фатальним для довіри користувачів.