Polymarket возместит потери пользователей после атаки через подрядчика

Платформа предсказаний Polymarket пообещала полностью возместить потери пользователей после атаки через стороннего подрядчика. По оценкам ончейн-аналитиков, злоумышленники похитили около $3 млн.

This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We’ve contained it & removed the affected dependency. We’re contacting impacted users & refunding them in full.

— Polymarket Traders (@PolymarketTrade) June 25, 2026

«[…] мы обнаружили, что сторонний подрядчик был скомпрометирован, что позволило внедрить вредоносный скрипт во фронтенд для части пользователей. Мы локализовали проблему и удалили затронутую зависимость. Мы связываемся с пострадавшими пользователями и полностью возмещаем им потери», — уточнили представители платформы.

Представитель Polymarket Коннор Бранди подтвердил TechCrunch, что инцидент привел к краже пользовательских средств, но не ответил на дополнительные вопросы.

Что известно об атаке

По данным PeckShield, ущерб от атаки составил около $3 млн.

#PeckShieldAlert Specter has reported that a #phishing campaign appears to be targeting #Polymarket users, with ~$3M worth of $PUSD drained.

The attacker bridged the stolen funds from #Polygon to #Ethereum and swapped them into ~1,893 $ETH. pic.twitter.com/Li4nZY1me4

— PeckShieldAlert (@PeckShieldAlert) June 25, 2026

Аналитик под псевдонимом Specter оценил потери примерно в $2,94 млн и сообщил о более чем 11 пострадавших кошельках.

It appears there may be a phishing attack targeting Polymarket users, with estimated losses of $2.94M so far.

The attacker has drained funds from 11+ victim wallets holding PUSD, swapped the stolen assets for $ETH, and consolidated the proceeds into the following address:… pic.twitter.com/6WfS0JhdDG

— Specter (@SpecterAnalyst) June 25, 2026

По данным Bubblemaps, атака затронула менее 15 аккаунтов. Компания также опубликовала часть адресов пострадавших пользователей и отметила, что потенциальный ущерб удалось в основном ограничить.

Some Polymarket accounts affected:

0x349606c1b77F3Ba668879CbC9347f15a44cF8fc4
0xFB84a9d631A3a19204B82c78dFeb90b220255fB5
0x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce9
0x987B441a20Dd4AA4bA6d53069E852E7f820adF43
0x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…

— Bubblemaps (@bubblemaps) June 25, 2026

По данным Decrypt, злоумышленники выводили pUSD с пользовательских кошельков. Согласно документации платформы, токен Polymarket в сети Polygon обеспечен USDC в соотношении 1:1, а обеспечение закреплено ончейн через смарт-контракт.

После вывода активы обменяли на $ETH и собрали на одном Ethereum-адресе. На момент написания средства оставались на нем. По доступным данным, атака затронула пользовательский интерфейс, а не смарт-контракты Polymarket. Компания не раскрыла, какой именно подрядчик был взломан и как долго код находился на сайте.

Третий похожий эпизод за полгода

Атака стала вторым инцидентом безопасности Polymarket за последние месяцы. В мае платформа столкнулась с компрометацией закрытого ключа кошелька, используемого для внутренних операций по пополнению счетов. По данным Bubblemaps, ущерб тогда составил около $700 000, но пользовательские средства и разрешение рынков, по заявлению платформы, не пострадали.

В более широком контексте это уже третий похожий эпизод за полгода. В декабре 2025 года Polymarket сообщала о взломе нескольких пользовательских аккаунтов из-за уязвимости у стороннего провайдера. Тогда платформа не раскрыла точное число пострадавших, сумму ущерба и название провайдера.

Напомним, в мае хакерским атакам подверглись Ekubo, TrustedVolumes, THORChain, Verus, Echo и Map Protocol.

Источник