Polymarket бере на себе відповідальність: повне відшкодування збитків після атаки через підрядника на $3 млн
Платформа децентралізованих прогнозів Polymarket офіційно заявила про готовність повністю компенсувати втрати користувачів, які постраждали внаслідок нещодавньої кібератаки. Інцидент, за даними ончейн-аналітики, торкнувся понад десятка гаманців, а загальна шкода оцінюється приблизно в $3 млн.
Згідно з офіційною заявою команди, зловмисники скомпрометували стороннього підрядника, впровадивши шкідливий скрипт у фронтенд платформи для частини користувачів. Проблему було оперативно локалізовано, а заражену залежність видалено. Polymarket уже зв’язується з постраждалими та гарантує повне відшкодування втрачених коштів.
Деталі атаки та рух коштів
Аналітики з PeckShield підтвердили, що атака мала фішинговий характер. Зловмисники виводили токени pUSD з гаманців жертв. Нагадаю, що pUSD — це внутрішній стейблкоїн Polymarket на базі Polygon, забезпечений USDC у співвідношенні 1:1 через ончейн-смарт-контракт. Після крадіжки активи були конвертовані в ETH та переведені на єдину адресу в мережі Ethereum, де на момент написання аналізу кошти залишалися недоторканими.
Експерт під псевдонімом Specter оцінив збитки в $2,94 млн та виявив понад 11 постраждалих адрес. Дані Bubblemaps також вказують на те, що атака торкнулася менш ніж 15 акаунтів, і потенційну шкоду вдалося значною мірою обмежити. Важливо підкреслити: інцидент торкнувся лише користувацького інтерфейсу, а не смарт-контрактів самої платформи, що є критичною відмінністю від атак на рівні протоколу.
Системна проблема: третій інцидент за півроку
Це вже не перший випадок витоку безпеки для Polymarket. У травні 2026 року платформа зіткнулася з компрометацією закритого ключа гаманця для внутрішніх операцій, що призвело до збитків у розмірі близько $700 000. А в грудні 2025 року фіксувався злом користувацьких акаунтів через вразливість у стороннього провайдера. Обидва попередні інциденти, за заявами команди, не торкнулися основних коштів користувачів та дозволених ринків.
Аналітичний коментар: Повторювані атаки через третіх осіб — тривожний сигнал для всієї екосистеми DeFi. Polymarket демонструє правильний підхід, беручи на себе фінансову відповідальність, але корінь проблеми лежить у недостатньому контролі за ланцюжком постачання програмного забезпечення. Поки платформи не впровадять багаторівневі перевірки та ізоляцію сторонніх скриптів, подібні інциденти повторюватимуться, підриваючи довіру до, здавалося б, надійних протоколів.