Polymarket компенсирует $3 млн убытков пользователей после атаки через подрядчика: анализ инцидента
Платформа прогнозирования Polymarket официально подтвердила взлом, произошедший через скомпрометированного стороннего подрядчика, и пообещала полностью возместить потери пострадавших пользователей. По данным ончейн-аналитиков, злоумышленникам удалось похитить около $3 млн.
Согласно заявлению команды Polymarket, вредоносный скрипт был внедрен во фронтенд для ограниченного числа пользователей. Проблема была локализована, а зависимость удалена. Представитель платформы Коннор Бранди подтвердил факт кражи средств, но отказался от дополнительных комментариев.
Детали атаки и движение средств
Аналитик под псевдонимом Specter оценил ущерб в $2,94 млн и сообщил о более чем 11 скомпрометированных кошельках. По данным PeckShield, злоумышленники выводили токен pUSD (обеспеченный USDC 1:1 через смарт-контракт на Polygon), затем конвертировали его в ETH и объединили на одном адресе в сети Ethereum. На момент написания анализа средства оставались на этом кошельке.
Bubblemaps уточняет, что атака затронула менее 15 аккаунтов, и потенциальный ущерб удалось в основном ограничить. Важно подчеркнуть: инцидент затронул пользовательский интерфейс, а не базовые смарт-контракты Polymarket. Компания пока не раскрыла, какой именно подрядчик был взломан и как долго вредоносный код присутствовал на сайте.
Системная проблема: третий эпизод за полгода
Это уже второй случай компрометации безопасности Polymarket за последние месяцы. В мае 2026 года платформа столкнулась с утечкой закрытого ключа кошелька, используемого для внутренних операций (ущерб ~$700 000). А в декабре 2025 года был зафиксирован взлом аккаунтов из-за уязвимости у стороннего провайдера — тогда точная сумма ущерба и имя провайдера не раскрывались.
Экспертный комментарий Cryptalist: Повторяющиеся инциденты с участием сторонних подрядчиков указывают на фундаментальную проблему в управлении рисками поставщиков услуг. Polymarket, будучи крупнейшей платформой прогнозирования, должна немедленно внедрить многоуровневую проверку кода и строгие политики доступа для вендоров. Иначе доверие пользователей, особенно в преддверии выборов 2028 года, может быть подорвано окончательно. Пока что полное возмещение убытков — правильный, но недостаточный шаг.
На фоне серии взломов других протоколов (Ekubo, THORChain, Verus и др.) этот инцидент подчеркивает, что даже топовые DeFi-платформы не застрахованы от атак через человеческий фактор и внешние интеграции.