Polymarket берет на себя ответственность: полное возмещение убытков после взлома через подрядчика
Платформа децентрализованных прогнозов Polymarket официально объявила о полном возмещении средств пострадавшим пользователям после недавней атаки, которая затронула клиентскую часть сайта. Инцидент произошел из-за компрометации стороннего подрядчика, что позволило злоумышленникам внедрить вредоносный скрипт в интерфейс для части посетителей. По оценкам ончейн-аналитиков, ущерб составил около $3 млн.
Детали атаки: не смарт-контракты, а фронтенд
Согласно заявлению команды, проблема была оперативно локализована, а зараженная зависимость удалена. Важно подчеркнуть: атака затронула исключительно пользовательский интерфейс, а не базовые смарт-контракты Polymarket. Это означает, что сама логика рынков прогнозов и средства, хранящиеся в протоколе, остались нетронутыми. Злоумышленники сфокусировались на фишинговой схеме, нацеленной на кошельки пользователей.
Аналитик под псевдонимом Specter зафиксировал вывод средств с более чем 11 кошельков на сумму около $2,94 млн. Похищенные токены pUSD, которые, согласно документации платформы, обеспечены USDC в соотношении 1:1 через ончейн-контракт на Polygon, были конвертированы в ETH и собраны на едином Ethereum-адресе, где на момент написания статьи средства все еще оставались.
Тревожный тренд: третий инцидент за полгода
Это не первый случай, когда Polymarket сталкивается с проблемами безопасности через третьи стороны. В мае 2026 года платформа уже сообщала о компрометации закрытого ключа для внутренних операций, что привело к убытку около $700 000. А в декабре 2025 года произошел взлом пользовательских аккаунтов из-за уязвимости у другого провайдера. Тот факт, что это третий похожий эпизод за последние полгода, вызывает серьезные вопросы к процессам аудита и управления рисками при выборе подрядчиков.
Мой анализ: Polymarket демонстрирует правильный подход, оперативно беря на себя финансовую ответственность. Однако повторяющийся характер атак через подрядчиков указывает на системную проблему в управлении цепочками поставок программного обеспечения. Для децентрализованной платформы, претендующей на роль лидера в сфере прогнозных рынков, отсутствие изолированной среды для стороннего кода и формального процесса верификации обновлений — это уязвимость, которая будет эксплуатироваться снова, пока не будет устранена на архитектурном уровне.