Polymarket a déclaré qu’elle remboursera intégralement les utilisateurs après qu’un script de prestataire compromis a siphonné environ 3 millions de dollars depuis moins de 15 comptes.
Points clés :
- Polymarket a indiqué qu’un prestataire tiers compromis avait injecté du code malveillant dans son frontend.
- Des chercheurs en sécurité ont recensé environ 3 millions de dollars de pertes sur moins de 15 comptes affectés.
- La brèche fait suite à un autre incident impliquant un wallet admin qui n’a pas touché les fonds des utilisateurs.
Piratage de Polymarket
Polymarket a confirmé vendredi que des attaquants ont utilisé un prestataire tiers compromis pour injecter du code malveillant dans son frontend, exposant certains utilisateurs à une attaque de vidage de wallet.
La brèche a d’abord été signalée par le chercheur en sécurité on-chain Specter, qui a indiqué qu’une campagne de phishing apparente avait vidé des fonds de plus de 11 portefeuilles détenant du PUSD (PUSD), le stablecoin de Polymarket.
Specter a estimé les pertes à 2,94 millions de dollars, tandis que PeckShield a ensuite confirmé un chiffre similaire et a indiqué que l’attaquant avait transféré des fonds de Polygon (POL) vers Ethereum (ETH), puis les avait convertis en 1 893 ETH.
La plateforme a reconnu la brèche via son compte Polymarket Traders sur X, indiquant que la dépendance concernée avait été retirée et que les utilisateurs affectés seraient contactés directement.
« Ce matin, nous avons découvert qu’un prestataire tiers avait été compromis, injectant un script malveillant dans notre frontend pour certains utilisateurs. Nous avons contenu le problème et supprimé la dépendance affectée », a‑t‑elle écrit. « Nous contactons les utilisateurs impactés et les remboursons intégralement. »
À lire aussi : Le cofondateur d’Anthropic affirme que le premier véritable choc de l’emploi lié à l’IA touche les diplômés
Conséquences sur la sécurité
William LeGate, qui collabore étroitement avec la plateforme, a répété que le problème avait été résolu et a indiqué que les utilisateurs affectés recevraient une compensation intégrale.
GoPlus Security a décrit l’incident comme une attaque sur la chaîne d’approvisionnement, indiquant qu’environ 15 comptes avaient été touchés et que les pertes totalisaient 3 millions de dollars.
Bubblemaps est parvenu à la même conclusion générale et a salué la réponse de Polymarket après que les fonds ont été siphonnés et que l’exploit a été contenu.
Cette dernière brèche ajoute de la pression car elle fait suite à un autre incident survenu le mois dernier, lorsqu’un wallet admin utilisé pour les recharges de récompenses des employés a perdu environ 700 000 dollars, probablement en raison d’un compromis de clé privée.
Le détective on-chain ZachXBT a d’abord estimé cette perte antérieure à environ 520 000 dollars, avant que Bubblemaps ne cite ensuite le chiffre plus élevé après avoir suivi les fonds sur plusieurs adresses.
Le développeur Josh Stevens a indiqué qu’une clé privée vieille de six ans avait été exposée via une configuration interne, après quoi l’entreprise a fait tourner les identifiants et est passée à des services de gestion de clés.
Les deux brèches ont touché les systèmes autour des marchés de prédiction plutôt que les marchés eux‑mêmes, mais elles sont survenues durant une période difficile pour l’entreprise. Le Wall Street Journal a récemment rapporté que Polymarket payait des créateurs d’âge universitaire entre 2 000 et 3 000 dollars par mois pour publier des vidéos de paris scénarisées, et un autre trader a affirmé ce mois‑ci que des changements de règles liés à un marché de vente de Bitcoin Strategy lui avaient coûté 500 000 dollars.
À lire ensuite : Les hackers BlueNoroff de Corée du Nord ont utilisé de faux appels Zoom générés par IA pour pirater 100 dirigeants de la crypto





