Polymarket берет на себя ответственность: полное возмещение после атаки на $3 млн через подрядчика
Рынок предсказаний Polymarket официально подтвердил компрометацию своей инфраструктуры через стороннего вендора и пообещал полностью компенсировать убытки пострадавших пользователей. По оценкам ончейн-аналитиков, злоумышленникам удалось вывести активы на сумму около $3 млн.
Детали инцидента
Атака была обнаружена утром 25 июня 2026 года. Как выяснилось, вредоносный скрипт был внедрен во фронтенд платформы для части пользователей через скомпрометированного стороннего подрядчика. Команда Polymarket оперативно локализовала проблему и удалила зараженную зависимость. Представитель платформы Коннор Бранди подтвердил факт кражи средств, но отказался от дополнительных комментариев.
Согласно данным аналитической платформы PeckShield, ущерб составил примерно $3 млн. Аналитик под псевдонимом Specter уточнил цифру в $2,94 млн и сообщил о более чем 11 пострадавших кошельках. Bubblemaps, в свою очередь, зафиксировала менее 15 затронутых аккаунтов и опубликовала часть их адресов, отметив, что потенциальный ущерб удалось в основном локализовать.
Технические аспекты и движение средств
Злоумышленники выводили токены pUSD с кошельков пользователей. Напомню, что pUSD — это собственный токен Polymarket в сети Polygon, обеспеченный USDC в соотношении 1:1 через ончейн-смарт-контракт. После кражи хакеры конвертировали похищенные активы в ETH и консолидировали их на одном Ethereum-адресе, где средства остаются на момент написания этого анализа. Важно подчеркнуть: атака затронула исключительно пользовательский интерфейс, а не смарт-контракты самой платформы. Polymarket пока не раскрывает, какой именно подрядчик был взломан и как долго вредоносный код присутствовал на сайте.
Системная проблема: третий эпизод за полгода
Это уже второй инцидент безопасности Polymarket за последние месяцы. В мае 2026 года платформа столкнулась с компрометацией закрытого ключа кошелька, используемого для внутренних операций по пополнению счетов. Тогда ущерб составил около $700 000, хотя пользовательские средства, по заявлению платформы, не пострадали. Если смотреть шире, это уже третий похожий случай за полгода: в декабре 2025 года Polymarket сообщала о взломе нескольких аккаунтов из-за уязвимости у стороннего провайдера, не раскрыв ни сумму, ни число пострадавших.
Мой анализ: Polymarket демонстрирует ответственный подход, беря на себя финансовую ответственность, но три инцидента за полгода — это тревожный сигнал для всей индустрии. Зависимость от сторонних подрядчиков становится критической точкой отказа. Пользователям стоит задуматься: безопасность DeFi-платформ часто стоит ровно настолько, насколько надежна самая слабая третья сторона в их стеке.