Платформа предсказаний Polymarket пообещала полностью возместить потери пользователей после атаки через стороннего подрядчика. По оценкам ончейн-аналитиков, злоумышленники похитили около $3 млн.
«[…] мы обнаружили, что сторонний подрядчик был скомпрометирован, что позволило внедрить вредоносный скрипт во фронтенд для части пользователей. Мы локализовали проблему и удалили затронутую зависимость. Мы связываемся с пострадавшими пользователями и полностью возмещаем им потери», — уточнили представители платформы.
Представитель Polymarket Коннор Бранди подтвердил TechCrunch, что инцидент привел к краже пользовательских средств, но не ответил на дополнительные вопросы.
Что известно об атаке
По данным PeckShield, ущерб от атаки составил около $3 млн.
Аналитик под псевдонимом Specter оценил потери примерно в $2,94 млн и сообщил о более чем 11 пострадавших кошельках.
По данным Bubblemaps, атака затронула менее 15 аккаунтов. Компания также опубликовала часть адресов пострадавших пользователей и отметила, что потенциальный ущерб удалось в основном ограничить.
По данным Decrypt, злоумышленники выводили pUSD с пользовательских кошельков. Согласно документации платформы, токен Polymarket в сети Polygon обеспечен USDC в соотношении 1:1, а обеспечение закреплено ончейн через смарт-контракт.
После вывода активы обменяли на ETH и собрали на одном Ethereum-адресе. На момент написания средства оставались на нем. По доступным данным, атака затронула пользовательский интерфейс, а не смарт-контракты Polymarket. Компания не раскрыла, какой именно подрядчик был взломан и как долго код находился на сайте.
Третий похожий эпизод за полгода
Атака стала вторым инцидентом безопасности Polymarket за последние месяцы. В мае платформа столкнулась с компрометацией закрытого ключа кошелька, используемого для внутренних операций по пополнению счетов. По данным Bubblemaps, ущерб тогда составил около $700 000, но пользовательские средства и разрешение рынков, по заявлению платформы, не пострадали.
В более широком контексте это уже третий похожий эпизод за полгода. В декабре 2025 года Polymarket сообщала о взломе нескольких пользовательских аккаунтов из-за уязвимости у стороннего провайдера. Тогда платформа не раскрыла точное число пострадавших, сумму ущерба и название провайдера.
Напомним, в мае хакерским атакам подверглись Ekubo, TrustedVolumes, THORChain, Verus, Echo и Map Protocol.