Polymarket бере на себе відповідальність за злом через підрядника: відшкодування збитків та тривожний сигнал для DeFi
Платформа децентралізованих прогнозів Polymarket офіційно заявила про повне відшкодування всіх втрат користувачів, які постраждали внаслідок нещодавньої атаки. Інцидент, як з'ясувалося, був пов'язаний із компрометацією стороннього підрядника, що призвело до впровадження шкідливого скрипту в інтерфейс користувача. За попередніми даними ончейн-аналітиків, загальна сума збитків склала близько $3 млн.
Представники Polymarket уточнили, що атаку було локалізовано, а заражений код видалено. Команда зв'язалася з кожним постраждалим користувачем і гарантувала повне повернення коштів. Однак деталі про те, який саме підрядник був скомпрометований і як довго шкідливий скрипт залишався активним, поки не розкриваються.
Деталі атаки: як зловмисники виводили кошти
Згідно з даними аналітичного сервісу PeckShield, атакуючим вдалося вивести близько $3 млн у токенах pUSD з гаманців постраждалих користувачів. Аналітик під псевдонімом Specter уточнив, що було зачеплено щонайменше 11 гаманців, а точні втрати склали близько $2,94 млн. Після виведення коштів зловмисники конвертували pUSD в ETH і консолідували всі активи на одній Ethereum-адресі, де вони залишаються на момент написання цього аналізу. Важливо підкреслити: атака торкнулася виключно фронтенд-інтерфейсу платформи, а не її смарт-контрактів.
За даними Bubblemaps, кількість постраждалих акаунтів не перевищує 15, що дозволяє припустити, що атака мала точковий, а не масовий характер. Тим не менш, сам факт того, що вразливість виникла через довіреного підрядника, викликає серйозні питання до процесів безпеки в екосистемі Polymarket.
Системна проблема: третій інцидент за півроку
Це вже не перший випадок, коли Polymarket стикається з компрометацією через сторонні сервіси. У травні 2026 року платформа повідомила про витік закритого ключа гаманця, що використовувався для внутрішніх операцій, що призвело до збитків у $700 000. А в грудні 2025 року стався злам облікових записів користувачів через вразливість у іншого стороннього провайдера. Таким чином, нинішня атака — це третій подібний епізод за останні шість місяців, що вказує на хронічну проблему в управлінні ризиками, пов'язаними із зовнішніми контрагентами.
На тлі нещодавніх зламів інших протоколів (Ekubo, THORChain, Verus) цей інцидент слугує ще одним нагадуванням про те, що навіть великі та популярні DeFi-платформи не застраховані від атак через ланцюг постачання. Polymarket вчинила правильно, взявши на себе відповідальність і пообіцявши відшкодування, але для відновлення довіри користувачів знадобляться більш системні заходи з аудиту та моніторингу всіх інтеграцій.
Думка експерта: Polymarket демонструє відповідальний підхід, оперативно відшкодовуючи збитки. Однак три інциденти за півроку — це тривожний сигнал. Ринку потрібні не просто «гарячі» виправлення, а фундаментальна перебудова процесів безпеки, особливо в частині роботи з підрядниками. Користувачам варто тимчасово посилити пильність під час взаємодії з платформою, доки не будуть впроваджені більш надійні механізми захисту.