La plateforme de marché de prédiction Polymarket a perdu 3,1 millions de dollars après que des attaquants ont compromis un prestataire tiers de frontend et vidé les fonds de 11 portefeuilles d’utilisateurs.
Les contrats intelligents audités de la plateforme sont restés intacts pendant tout l’incident.
Selon un rapport, les jetons PUSD volés ont été déplacés de Polygon (POL) vers Ethereum (ETH) via un pont inter‑chaînes. Polymarket n’a pas publiquement nommé le prestataire compromis.
Comment l’attaque a fonctionné
Les attaques contre les prestataires de frontend ciblent l’interface web qui relie les utilisateurs aux contrats sous‑jacents d’une plateforme. Les contrats intelligents détiennent et gèrent les fonds, mais les utilisateurs interagissent via une couche dans le navigateur, conçue et maintenue par des fournisseurs de logiciels tiers.
Dans ce cas, les attaquants semblent avoir injecté un code malveillant à ce niveau d’interface. Les utilisateurs affectés qui ont interagi avec le frontend de Polymarket pendant la fenêtre d’attaque ont vu les autorisations de leur portefeuille détournées. Onze portefeuilles ont perdu des fonds avant que la compromission ne soit détectée.
Le fait que les contrats intelligents aient passé des audits offre une protection limitée lorsque le vecteur d’attaque se situe en amont de la couche de contrat.
L’enquête réglementaire accentue la pression après l’incident de sécurité
Polymarket est soumis à une attention réglementaire accrue depuis que la Commodity Futures Trading Commission a lancé une enquête sur l’accès des utilisateurs américains à la plateforme. L’enquête de la CFTC, qui se poursuit depuis 2026, se concentre sur la question de savoir si les marchés de prédiction de Polymarket constituent des contrats de marchandises non enregistrés proposés aux utilisateurs américains.
La plateforme a attiré l’attention du grand public pendant la campagne pour l’élection présidentielle américaine de 2024, lorsque ses marchés ont été largement cités dans la couverture médiatique des probabilités de victoire. Cette visibilité a entraîné à la fois une croissance des utilisateurs et un examen réglementaire plus poussé. La combinaison d’une enquête active de la CFTC et d’un incident de sécurité très médiatisé crée une pression réputationnelle accrue pour les opérateurs de la plateforme.
La sécurité des marchés de prédiction reste une préoccupation récurrente dans le secteur. Les attaques sur le frontend sont particulièrement difficiles à prévenir, car elles reposent sur la compromission de fournisseurs tiers plutôt que du protocole central. Plusieurs plateformes DeFi ont subi des compromissions similaires de type chaîne d’approvisionnement au cours des deux dernières années.
À lire aussi : Micron devient la nouvelle obsession IA de Wall Street après un rallye de 236 %
Et maintenant ?
Polymarket n’a pas confirmé si les utilisateurs affectés recevront une compensation. La plateforme n’a pas non plus divulgué l’identité du prestataire compromis, ce qui limite les analyses de sécurité externes de la chaîne d’attaque.
L’enquête de la CFTC ajoute un niveau de complexité. Toute déclaration publique sur le piratage pourrait interférer avec les procédures réglementaires en cours. Le transfert des fonds volés vers Ethereum via un pont rend le traçage théoriquement possible, même si les récupérations de fonds dans ce type d’attaque sur fournisseur de frontend restent rares sans intervention des forces de l’ordre.
À lire ensuite : HIVE vient d’emprunter 115 M$ à zéro pour cent pour parier contre le minage de Bitcoin