Polymarket компенсує $3 млн збитків користувачів після атаки через підрядника: аналіз інциденту
Платформа прогнозування Polymarket офіційно підтвердила злом, який стався через скомпрометованого стороннього підрядника, і пообіцяла повністю відшкодувати втрати постраждалих користувачів. За даними ончейн-аналітиків, зловмисникам вдалося викрасти близько $3 млн.
Згідно із заявою команди Polymarket, шкідливий скрипт було впроваджено у фронтенд для обмеженої кількості користувачів. Проблему локалізували, а залежність видалили. Представник платформи Коннор Бранді підтвердив факт крадіжки коштів, але відмовився від додаткових коментарів.
Деталі атаки та рух коштів
Аналітик під псевдонімом Specter оцінив збитки у $2,94 млн і повідомив про понад 11 скомпрометованих гаманців. За даними PeckShield, зловмисники виводили токен pUSD (забезпечений USDC 1:1 через смарт-контракт на Polygon), потім конвертували його в ETH та об'єднали на одній адресі в мережі Ethereum. На момент написання аналізу кошти залишалися на цьому гаманці.
Bubblemaps уточнює, що атака торкнулася менш ніж 15 акаунтів, і потенційні збитки вдалося в основному обмежити. Важливо підкреслити: інцидент торкнувся користувацького інтерфейсу, а не базових смарт-контрактів Polymarket. Компанія поки не розкрила, який саме підрядник був зламаний і як довго шкідливий код був присутній на сайті.
Системна проблема: третій епізод за півроку
Це вже другий випадок компрометації безпеки Polymarket за останні місяці. У травні 2026 року платформа зіткнулася з витоком закритого ключа гаманця, що використовувався для внутрішніх операцій (збитки ~$700 000). А в грудні 2025 року було зафіксовано злом акаунтів через вразливість у стороннього провайдера — тоді точна сума збитків та ім'я провайдера не розголошувалися.
Експертний коментар Cryptalist: Повторювані інциденти за участю сторонніх підрядників вказують на фундаментальну проблему в управлінні ризиками постачальників послуг. Polymarket, будучи найбільшою платформою прогнозування, повинна негайно впровадити багаторівневу перевірку коду та суворі політики доступу для вендорів. Інакше довіра користувачів, особливо напередодні виборів 2028 року, може бути підірвана остаточно. Поки що повне відшкодування збитків — правильний, але недостатній крок.
На тлі серії зломів інших протоколів (Ekubo, THORChain, Verus та ін.) цей інцидент підкреслює, що навіть топові DeFi-платформи не застраховані від атак через людський фактор та зовнішні інтеграції.