Polymarket бере на себе відповідальність: повне відшкодування збитків після злому через підрядника на $3 млн
Платформа децентралізованих прогнозів Polymarket офіційно підтвердила факт компрометації своєї фронтенд-інфраструктури через стороннього вендора. Зловмисники впровадили шкідливий скрипт, який торкнувся частини користувачів, і, за даними ончейн-аналітиків, викрали близько $3 млн у токенах pUSD. Адміністрація проекту пообіцяла повністю компенсувати всі втрати постраждалим.
Деталі атаки: підрядник під ударом
Інцидент було виявлено командою Polymarket під час планового моніторингу. З'ясувалося, що сторонній підрядник, який відповідає за частину клієнтського коду, був скомпрометований. Це дозволило атакуючим впровадити шкідливий скрипт безпосередньо у фронтенд сайту, який потім перехоплював транзакції або авторизаційні дані у вузької групи користувачів. Платформа оперативно ізолювала проблему та видалила заражену залежність.
Згідно зі звітами ончейн-детективів з PeckShield та аналітика під псевдонімом Specter, збитки склали від $2,94 млн до $3 млн. Зловмисники атакували щонайменше 11 гаманців, виводячи токени pUSD, які були прив'язані до USDC у співвідношенні 1:1 на Polygon. Після крадіжки кошти були конвертовані в ETH та переміщені на єдину адресу в мережі Ethereum, де й залишаються на момент публікації аналізу. Важливо підкреслити: атака торкнулася саме інтерфейсу користувача, а не базових смарт-контрактів Polymarket, що виключає глобальний протокольний ризик.
Дослідники з Bubblemaps уточнили, що кількість постраждалих акаунтів не перевищує 15, що підтверджує точковий характер атаки. Однак точна особа скомпрометованого підрядника та тривалість присутності шкідливого коду на сайті поки не розкриваються.
Тривожний тренд: третій інцидент за півроку
Це не перший випадок порушення безпеки для Polymarket. У травні 2026 року платформа вже стикалася з компрометацією закритого ключа гаманця, який використовувався для внутрішніх операцій, що призвело до збитків близько $700 000. А в грудні 2025 року стався злом користувацьких акаунтів через вразливість у іншого стороннього провайдера. Таким чином, поточна атака є вже третім подібним епізодом за останні шість місяців, що вказує на системну проблему в управлінні ланцюжком постачання (supply chain) та контролі за сторонніми інтеграціями.
Мій аналіз: Polymarket демонструє правильний підхід, беручи на себе фінансову відповідальність та гарантуючи повне відшкодування. Це зміцнює довіру спільноти в короткостроковій перспективі. Однак повторювані атаки через підрядників — тривожний сигнал. Проекту необхідно кардинально переглянути політику безпеки: впровадити обов'язковий аудит коду всіх сторонніх бібліотек, використовувати ізольовані середовища для виконання скриптів та посилити вимоги до вендорів. В іншому випадку репутаційні ризики можуть переважити фінансові компенсації.