La piattaforma di mercati di previsione Polymarket ha perso 3,1 milioni di dollari dopo che degli aggressori hanno violato un fornitore di frontend di terze parti e hanno svuotato i fondi da 11 wallet di utenti.
Gli smart contract propri della piattaforma, sottoposti ad audit, sono rimasti intatti per tutta la durata dell’incidente.
Secondo un report, i token PUSD rubati sono stati spostati da Polygon (POL) a Ethereum (ETH) tramite un bridge cross-chain. Polymarket non ha reso pubblico il nome del fornitore compromesso.
Come ha funzionato l’attacco
Gli attacchi ai fornitori di frontend prendono di mira l’interfaccia web che collega gli utenti ai contratti sottostanti della piattaforma. Gli smart contract stessi detengono e gestiscono i fondi, ma gli utenti interagiscono tramite un livello basato su browser, costruito e mantenuto da fornitori software terzi.
In questo caso, sembra che gli aggressori abbiano iniettato codice malevolo proprio a livello di questa interfaccia. Gli utenti colpiti che hanno interagito con il frontend di Polymarket durante la finestra dell’attacco hanno visto le approvazioni dei propri wallet reindirizzate. Undici wallet hanno perso fondi prima che la violazione fosse rilevata.
Il fatto che gli smart contract avessero superato gli audit offre una protezione limitata quando il vettore d’attacco si trova a monte del livello dei contratti.
L’indagine regolatoria aumenta la pressione dopo l’incidente di sicurezza
Polymarket opera sotto una maggiore attenzione regolatoria da quando la Commodity Futures Trading Commission ha avviato un’indagine sull’accesso degli utenti statunitensi alla piattaforma. L’inchiesta della CFTC, in corso dal 2026, si concentra sul fatto che i mercati di previsione di Polymarket possano costituire contratti su commodity non registrati, messi a disposizione degli utenti americani.
La piattaforma ha attirato l’attenzione del grande pubblico durante il ciclo elettorale statunitense del 2024, quando i suoi mercati sono stati ampiamente citati nella copertura mediatica delle probabilità della corsa presidenziale. Quella visibilità ha portato sia crescita degli utenti sia maggiore scrutinio regolatorio. La combinazione tra un’indagine CFTC in corso e un incidente di sicurezza di alto profilo crea una pressione reputazionale ancora più forte sugli operatori della piattaforma.
La sicurezza dei mercati di previsione è stata una preoccupazione ricorrente nel settore. Gli attacchi al frontend sono particolarmente difficili da prevenire perché si basano sulla compromissione di fornitori terzi, anziché del protocollo core. Diverse piattaforme DeFi hanno subito compromissioni simili, in stile supply-chain, negli ultimi due anni.
Leggi anche: Micron diventa la nuova ossessione AI di Wall Street dopo un rally del 236%
Cosa succede adesso
Polymarket non ha confermato se gli utenti colpiti riceveranno un risarcimento. La piattaforma non ha nemmeno rivelato l’identità del fornitore compromesso, limitando così le revisioni di sicurezza indipendenti sulla catena dell’attacco.
L’indagine della CFTC aggiunge un ulteriore livello di complessità. Qualsiasi dichiarazione pubblica sull’hack potrebbe intersecare i procedimenti regolatori in corso. Lo spostamento dei fondi rubati su Ethereum tramite un bridge rende in linea di principio possibile il tracciamento, anche se i recuperi in exploit che coinvolgono fornitori di frontend sono rari senza il coinvolgimento delle forze dell’ordine.
Da leggere dopo: HIVE ha appena preso in prestito 115 milioni di dollari a tasso zero per scommettere contro il mining di Bitcoin