Polymarket бере на себе відповідальність: повне відшкодування після атаки на $3 млн через підрядника
Ринок передбачень Polymarket офіційно підтвердив компрометацію своєї інфраструктури через стороннього вендора та пообіцяв повністю компенсувати збитки постраждалих користувачів. За оцінками ончейн-аналітиків, зловмисникам вдалося вивести активи на суму близько $3 млн.
Деталі інциденту
Атаку було виявлено вранці 25 червня 2026 року. Як з'ясувалося, шкідливий скрипт було впроваджено у фронтенд платформи для частини користувачів через скомпрометованого стороннього підрядника. Команда Polymarket оперативно локалізувала проблему та видалила заражену залежність. Представник платформи Коннор Бранді підтвердив факт крадіжки коштів, але відмовився від додаткових коментарів.
Згідно з даними аналітичної платформи PeckShield, збиток склав приблизно $3 млн. Аналітик під псевдонімом Specter уточнив цифру в $2,94 млн та повідомив про понад 11 постраждалих гаманців. Bubblemaps, своєю чергою, зафіксувала менше ніж 15 зачеплених акаунтів та опублікувала частину їхніх адрес, зазначивши, що потенційний збиток вдалося в основному локалізувати.
Технічні аспекти та рух коштів
Зловмисники виводили токени pUSD з гаманців користувачів. Нагадаю, що pUSD — це власний токен Polymarket у мережі Polygon, забезпечений USDC у співвідношенні 1:1 через ончейн-смарт-контракт. Після крадіжки хакери конвертували викрадені активи в ETH та консолідували їх на одному Ethereum-адресі, де кошти залишаються на момент написання цього аналізу. Важливо підкреслити: атака зачепила виключно користувацький інтерфейс, а не смарт-контракти самої платформи. Polymarket поки не розкриває, який саме підрядник був зламаний і як довго шкідливий код був присутній на сайті.
Системна проблема: третій епізод за півроку
Це вже другий інцидент безпеки Polymarket за останні місяці. У травні 2026 року платформа зіткнулася з компрометацією закритого ключа гаманця, що використовувався для внутрішніх операцій з поповнення рахунків. Тоді збиток склав близько $700 000, хоча користувацькі кошти, за заявою платформи, не постраждали. Якщо дивитися ширше, це вже третій подібний випадок за півроку: у грудні 2025 року Polymarket повідомляла про злам кількох акаунтів через вразливість у стороннього провайдера, не розкривши ні суму, ні кількість постраждалих.
Мій аналіз: Polymarket демонструє відповідальний підхід, беручи на себе фінансову відповідальність, але три інциденти за півроку — це тривожний сигнал для всієї індустрії. Залежність від сторонніх підрядників стає критичною точкою відмови. Користувачам варто замислитися: безпека DeFi-платформ часто варта рівно стільки, наскільки надійна найслабша третя сторона в їхньому стеку.