Polymarket бере на себе відповідальність: повне відшкодування збитків після злому через підрядника
Платформа децентралізованих прогнозів Polymarket офіційно оголосила про повне відшкодування коштів постраждалим користувачам після нещодавньої атаки, яка зачепила клієнтську частину сайту. Інцидент стався через компрометацію стороннього підрядника, що дозволило зловмисникам впровадити шкідливий скрипт в інтерфейс для частини відвідувачів. За оцінками ончейн-аналітиків, збитки склали близько $3 млн.
Деталі атаки: не смарт-контракти, а фронтенд
Згідно із заявою команди, проблему було оперативно локалізовано, а заражену залежність видалено. Важливо підкреслити: атака зачепила виключно користувацький інтерфейс, а не базові смарт-контракти Polymarket. Це означає, що сама логіка ринків прогнозів та кошти, що зберігаються в протоколі, залишилися недоторканими. Зловмисники зосередилися на фішинговій схемі, націленій на гаманці користувачів.
Аналітик під псевдонімом Specter зафіксував виведення коштів із понад 11 гаманців на суму близько $2,94 млн. Викрадені токени pUSD, які, згідно з документацією платформи, забезпечені USDC у співвідношенні 1:1 через ончейн-контракт на Polygon, були конвертовані в ETH та зібрані на єдиній Ethereum-адресі, де на момент написання статті кошти все ще залишалися.
Тривожний тренд: третій інцидент за півроку
Це не перший випадок, коли Polymarket стикається з проблемами безпеки через треті сторони. У травні 2026 року платформа вже повідомляла про компрометацію закритого ключа для внутрішніх операцій, що призвело до збитку близько $700 000. А в грудні 2025 року стався злам користувацьких акаунтів через вразливість у іншого провайдера. Той факт, що це третій подібний епізод за останні півроку, викликає серйозні питання до процесів аудиту та управління ризиками при виборі підрядників.
Мій аналіз: Polymarket демонструє правильний підхід, оперативно беручи на себе фінансову відповідальність. Однак повторюваний характер атак через підрядників вказує на системну проблему в управлінні ланцюжками постачання програмного забезпечення. Для децентралізованої платформи, яка претендує на роль лідера у сфері прогнозних ринків, відсутність ізольованого середовища для стороннього коду та формального процесу верифікації оновлень — це вразливість, яка експлуатуватиметься знову, доки не буде усунена на архітектурному рівні.