Платформа ринків прогнозів Polymarket втратила $3,1 млн після того, як зловмисники зламали стороннього постачальника фронтенду та вивели кошти з 11 користувацьких гаманців.
Власні аудитовані смартконтракти платформи залишилися неушкодженими протягом усього інциденту.
Згідно зі звітами, викрадені токени PUSD були переведені з Polygon (POL) до Ethereum (ETH) через кросчейн‑міст. Polymarket публічно не назвав скомпрометованого постачальника.
Як працювала атака
Атаки на фронтенд‑постачальників націлені на вебінтерфейс, який з’єднує користувачів із базовими контрактами платформи. Саме смартконтракти зберігають та керують коштами, але користувачі взаємодіють із ними через браузерний шар, розроблений і підтримуваний сторонніми постачальниками програмного забезпечення.
У цьому випадку, схоже, зловмисники впорснули шкідливий код саме на цьому інтерфейсному рівні. Постраждалі користувачі, які взаємодіяли з фронтендом Polymarket під час вікна атаки, мали свої схвалення гаманця перенаправленими. Одинадцять гаманців втратили кошти, перш ніж компрометацію було виявлено.
Той факт, що смартконтракти пройшли аудит, забезпечує обмежений захист, коли вектор атаки знаходиться вище за рівень контракту.
Регуляторне розслідування посилює тиск після інциденту безпеки
Polymarket працює під підвищеною увагою регуляторів з того часу, як Комісія з торгівлі товарними ф’ючерсами (CFTC) розпочала розслідування щодо доступу платформи для користувачів зі США. Розслідування CFTC, яке триває протягом 2026 року, зосереджене на тому, чи є ринки прогнозів Polymarket незареєстрованими товарними контрактами, доступними для американських користувачів.
Платформа привернула широку увагу під час виборчого циклу у США 2024 року, коли її ринки стали широко цитувати у медіа як джерело ймовірностей результатів президентських перегонів. Така видимість принесла як зростання бази користувачів, так і посилену увагу регуляторів. Поєднання активного розслідування CFTC та гучного інциденту безпеки створює для операторів платформи подвійний репутаційний тиск.
Безпека ринків прогнозів є постійною проблемою в секторі. Атаки на фронтенд особливо складно запобігати, адже вони ґрунтуються на компрометації сторонніх постачальників, а не ядра протоколу. За останні два роки кілька DeFi‑платформ стали жертвами подібних компрометацій ланцюга постачання.
Також читайте: Micron стає новою AI‑одержимістю Волл‑стріт після ралі в 236%
Що буде далі
Polymarket не підтвердив, чи отримають постраждалі користувачі компенсацію. Платформа також не розкрила особу скомпрометованого постачальника, що обмежує можливості сторонніх фахівців з безпеки аналізувати весь ланцюг атаки.
Розслідування CFTC додає складності ситуації. Будь‑яка публічна заява про хак може перетинатися з поточними регуляторними провадженнями. Переміщення викрадених коштів до Ethereum через міст теоретично дозволяє їх відстежувати, хоча повернення коштів у випадках експлойтів фронтенд‑постачальників трапляється рідко без залучення правоохоронців.
Читайте далі: HIVE щойно позичила $115 млн під нуль відсотків, щоб зробити ставку проти майнінгу Bitcoin