Polymarket компенсирует $3 млн после атаки через взломанного подрядчика: анализ инцидента
Платформа прогнозных рынков Polymarket официально заявила о полной компенсации потерь пользователей, пострадавших от кибератаки, осуществлённой через взлом стороннего вендора. По оценкам ончейн-аналитиков, ущерб составил около $3 млн. Инцидент вновь поднимает вопросы о безопасности децентрализованных приложений, особенно в части их зависимости от внешних поставщиков инфраструктуры.
Детали взлома
Согласно заявлению команды Polymarket, вредоносный скрипт был внедрён во фронтенд платформы для части пользователей после компрометации стороннего подрядчика. Проблему удалось локализовать, а заражённую зависимость — удалить. Представитель платформы Коннор Бранди подтвердил факт кражи средств, но отказался от дополнительных комментариев.
Аналитики из PeckShield оценили ущерб в $3 млн, а исследователь под псевдонимом Specter уточнил цифру в $2,94 млн, отметив, что пострадало более 11 кошельков. По данным Bubblemaps, атака затронула менее 15 аккаунтов, и потенциальный ущерб удалось в значительной степени ограничить. Злоумышленники выводили токены pUSD, обеспеченные USDC в соотношении 1:1 через смарт-контракт на Polygon, после чего конвертировали их в ETH и консолидировали на одном Ethereum-адресе, где средства остаются на момент написания анализа.
Уязвимость — не смарт-контракты, а интерфейс
Важно подчеркнуть: атака была направлена на пользовательский интерфейс, а не на базовые смарт-контракты Polymarket. Это означает, что протокол как таковой не был взломан — проблема крылась в доверенной, но слабо защищённой инфраструктуре подрядчика. Компания пока не раскрыла, какой именно вендор был скомпрометирован и как долго вредоносный код присутствовал на сайте.
Повторяющийся паттерн
Это уже третий подобный инцидент за последние полгода. В мае 2026 года Polymarket столкнулась с компрометацией закрытого ключа кошелька для внутренних операций, что привело к ущербу около $700 000. В декабре 2025 года платформа сообщала о взломе пользовательских аккаунтов из-за уязвимости у стороннего провайдера. Системная проблема очевидна: Polymarket неоднократно становится жертвой атак не через свой код, а через третьи стороны, что говорит о недостаточном аудите внешних интеграций.
На фоне участившихся взломов других протоколов — Ekubo, THORChain, Verus, Echo и Map Protocol — этот инцидент является очередным напоминанием: в DeFi безопасность цепочки поставок программного обеспечения становится критическим фактором, который нельзя игнорировать.
Мой анализ: Компенсация потерь — правильный, но запоздалый шаг. Polymarket необходимо кардинально пересмотреть политику работы с подрядчиками и внедрить обязательный аудит всех внешних зависимостей. Иначе репутация платформы, особенно в преддверии возможного регуляторного давления, будет подорвана окончательно. Рынок прогнозов слишком ценен, чтобы рисковать им из-за халатности в выборе вендоров.