Stagioni
Classifica
Notizie
Impara
Ricerca
Classifica
Ecosistema
Portafoglio

Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo

profile-alexey-bondarev
Alexey Bondarev1 ora fa
#Polymarket #Hacker
Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo

Polymarket ha dichiarato che rimborserà completamente gli utenti dopo che uno script di un fornitore compromesso ha prosciugato circa 3 milioni di dollari da meno di 15 account.

Punti chiave:

  • Polymarket ha affermato che il compromesso di un fornitore terzo ha iniettato codice maligno nel suo frontend.
  • I ricercatori di sicurezza hanno tracciato circa 3 milioni di dollari di perdite su meno di 15 account colpiti.
  • La violazione segue un distinto incidente su un wallet admin che non ha coinvolto i fondi degli utenti.

L’hack di Polymarket

Polymarket ha confermato venerdì che gli aggressori hanno utilizzato un fornitore terzo compromesso per inserire codice maligno nel suo frontend, esponendo alcuni utenti a un attacco di svuotamento dei wallet.

La violazione è stata segnalata per la prima volta dal ricercatore di sicurezza on-chain Specter, che ha affermato che una apparente campagna di phishing aveva prosciugato fondi da oltre 11 wallet contenenti PUSD (PUSD), la stablecoin di Polymarket.

Specter ha stimato le perdite in 2,94 milioni di dollari, mentre PeckShield in seguito ha confermato una cifra simile e ha affermato che l’attaccante ha trasferito fondi da Polygon (POL) a Ethereum (ETH), convertendoli poi in 1.893 ETH.

La piattaforma ha riconosciuto la violazione tramite il suo account Polymarket Traders su X, affermando che la dipendenza compromessa era stata rimossa e che gli utenti colpiti sarebbero stati contattati direttamente.

«Questa mattina abbiamo scoperto che un fornitore di terze parti era stato compromesso, iniettando uno script maligno nel nostro frontend per alcuni utenti. Abbiamo contenuto il problema e rimosso la dipendenza interessata», ha scritto. «Stiamo contattando gli utenti colpiti e li rimborseremo integralmente.»

Leggi anche: Il cofondatore di Anthropic afferma che il primo vero shock occupazionale dell’IA sta colpendo i neolaureati

Conseguenze sulla sicurezza

William LeGate, che lavora a stretto contatto con la piattaforma, ha ribadito che il problema era stato risolto e ha affermato che gli utenti colpiti riceveranno un risarcimento completo.

GoPlus Security ha descritto l’incidente come un attacco alla catena di fornitura, affermando che circa 15 account sono stati colpiti e che le perdite ammontano a 3 milioni di dollari.

Bubblemaps è giunta alla stessa ampia conclusione e ha lodato la risposta di Polymarket dopo che i fondi sono stati prosciugati e l’exploit è stato contenuto.

L’ultima violazione aumenta la pressione perché segue un altro incidente avvenuto il mese scorso, quando un wallet admin utilizzato per ricaricare i premi ai dipendenti ha perso circa 700.000 dollari, probabilmente a causa del compromesso di una chiave privata.

Il detective on-chain ZachXBT ha inizialmente stimato quella perdita in circa 520.000 dollari, prima che Bubblemaps citasse in seguito la cifra più alta dopo aver tracciato i fondi su diversi indirizzi.

Lo sviluppatore Josh Stevens ha dichiarato che una chiave privata vecchia di sei anni era stata esposta tramite una configurazione interna, dopo di che l’azienda ha ruotato le credenziali ed è passata a servizi di gestione delle chiavi.

Entrambe le violazioni hanno colpito i sistemi intorno ai mercati di previsione piuttosto che i mercati stessi, ma sono arrivate in un periodo difficile per l’azienda. Il Wall Street Journal ha recentemente riferito che Polymarket ha pagato a creator in età universitaria da 2.000 a 3.000 dollari al mese per pubblicare video di scommesse inscenate, e un altro trader ha affermato questo mese che modifiche alle regole legate a un mercato di vendita di Bitcoin Strategy gli sono costate 500.000 dollari.

Da leggere dopo: Gli hacker BlueNoroff della Corea del Nord hanno usato finte call Zoom generate dall’IA per violare 100 dirigenti crypto

Disclaimer e avvertenza sui rischi: Le informazioni fornite in questo articolo sono solo per scopi educativi e informativi e sono basate sull'opinione dell'autore. Non costituiscono consulenza finanziaria, di investimento, legale o fiscale. Gli asset di criptovaluta sono altamente volatili e soggetti ad alto rischio, incluso il rischio di perdere tutto o una parte sostanziale del tuo investimento. Il trading o il possesso di asset crypto potrebbe non essere adatto a tutti gli investitori. Le opinioni espresse in questo articolo sono esclusivamente quelle dell'autore/autori e non rappresentano la politica ufficiale o la posizione di Yellow, dei suoi fondatori o dei suoi dirigenti. Conduci sempre la tua ricerca approfondita (D.Y.O.R.) e consulta un professionista finanziario autorizzato prima di prendere qualsiasi decisione di investimento.
Ultime notizie
Mostra tutte le notizie
Aumento delle frodi multi-asset mentre Bitget segnala nuove tattiche di truffa
37 minuti fa
Studio Bitget–SlowMist: frodi multi-asset in crescita, con IA, deepfake e più canali che colpiscono chi investe tra crypto, azioni e asset tokenizzati.
Il cofondatore di Anthropic afferma che il primo vero shock occupazionale dell’IA sta colpendo i neolaureati
2 ore fa
Jack Clark di Anthropic vede il primo impatto reale dell’IA sull’occupazione nei neolaureati, mentre l’azienda sposta le assunzioni verso profili senior e destina 350 milioni ai lavoratori sostituiti.
Gli hacker BlueNoroff della Corea del Nord hanno usato finte chiamate Zoom generate dall’IA per violare 100 dirigenti crypto
4 ore fa
Hacker nordcoreani BlueNoroff usano finte chiamate Zoom e deepfake IA per rubare credenziali e wallet a oltre 100 dirigenti Web3 nel mondo.
Notizie correlate
Una chiave di sei anni è appena costata 573.000 $ a Polymarket nel suo peggior venerdì
May 22, 2026
Una vecchia chiave privata ha causato a Polymarket una perdita di 573.000 $, nel mezzo di indagini sudcoreane su possibili attività di gioco d’azzardo.
Polymarket nega violazione di 300.000 record e definisce le affermazioni dell'hacker prive di senso
Polymarket nega la violazione di 300.000 record, sostiene che i dati siano pubblici e segnala il proprio programma di bug bounty già operativo.
UXLINK perde 11,3 milioni di dollari in un hack al portafoglio multi-signature
L'hack di $11.3 milioni di UXLINK sottolinea le vulnerabilità di sicurezza nel Web3, influenzando l'impatto e la fiducia del mercato.
Hacker di Verus Bridge restituisce 8,5 milioni di dollari in accordo di bounty negoziato
May 22, 2026
L'hacker del bridge Verus ha restituito 4.052 ETH (8,5 milioni $), tenendo 1.350 ETH come bounty, riaccendendo il dibattito sulla sicurezza DeFi.
Polymarket ha pagato creator per falsificare vincite nelle scommesse, secondo il WSJ
Jun 22, 2026
WSJ: Polymarket ha pagato creator per inscenare false scommesse su siti copia, con vincite fasulle per circa 1,9 milioni di dollari.
Ricerche correlate
I più grandi exploit cripto del 2025–2026: che cosa è andato davvero storto
Analisi dei più grandi exploit cripto 2025–2026, cause ricorrenti, bug, furti di chiavi e punti di fiducia concentrata che hanno amplificato i danni.
La crisi della sicurezza del Web3 nel 2026: perché i più grandi hack non sono più solo bug degli smart contract
Nel 2026 le perdite maggiori derivano da falle operative e infrastrutturali, mentre i bug degli smart contract restano ma con impatto medio inferiore.
Claude Mythos e crypto: cosa significa la nuova minaccia dell’IA per il trading
Claude Mythos scopre migliaia di vulnerabilità zero‑day, aumentando il rischio per exchange, DeFi e infrastrutture crypto a mercato aperto e regolamento irreversibile.
Lazarus e l’hack di Kelp: come la macchina dei colpi cripto della Corea del Nord continua a evolversi
LayerZero attribuisce a Lazarus il furto di 292M$ da Kelp DAO, segno che gli attacchi di Stato restano oggi la minaccia principale alla sicurezza cripto.
Le nove balene anonime di Polymarket controllano miliardi in scommesse di previsione
Nove wallet anonimi dominano i mercati di Polymarket, sollevando timori su rischio di concentrazione, manipolazione dei prezzi e attenzione dei regolatori.
Guide correlate
7 segnali di allarme di frodi crypto che l’industria delle truffe da 17 miliardi di dollari spera tu non noti
Mar 16, 2026
Guida ai 7 principali schemi di truffa crypto nel 2026, con casi reali e segnali di allarme concreti per riconoscerli prima di perdere soldi.
Proteggi il Tuo Conto su Exchange di Criptovaluta: Strategie di Sicurezza Avanzate Spiegate
Approfondimento sulle strategie psicologiche, tattiche evolute e casi di studio riguardanti la minaccia persistente dei social engineering nel mondo delle criptovalute.
Attacchi di Ingegneria Sociale nel Crypto: 10 Consigli Provati per Mantenere Sicuri i Tuoi Beni Digitali
May 13, 2025
Scopri come l'ingegneria sociale nei mercati delle criptovalute sfrutti la psicologia umana piuttosto che vulnerabilità tecniche.
Guida per principianti al DeFi Lending: tutorial passo-passo per guadagnare reddito passivo con le criptovalute
Apr 04, 2026
Scopri come usare il DeFi lending per guadagnare interessi con Aave, Compound e altre piattaforme, comprendendo rischi, strategie e tassi.
Cosa sono i mercati predittivi? Come funzionano, chi li usa e perché contano nel 2026
Introduzione ai mercati predittivi, al funzionamento, alle differenze tra Polymarket e Kalshi e ai principali rischi di utilizzo.
Polymarket perde 3 milioni di dollari in un hack al frontend, poi promette il rimborso completo | Yellow.com