Polymarket відшкодує втрати користувачам після атаки через підрядника
Платформа прогнозів Polymarket пообіцяла повністю компенсувати втрати користувачів після атаки через стороннього підрядника. За оцінками ончейн-аналітиків, зловмисники викрали близько $3 млн.
Сьогодні вранці ми виявили, що сторонній постачальник був скомпрометований, що призвело до інʼєкції шкідливого скрипту в наш фронтенд для частини користувачів. Ми локалізували це й видалили уражену залежність. Ми звʼязуємося з постраждалими користувачами та відшкодовуємо їм кошти в повному обсязі.
— Polymarket Traders (@PolymarketTrade) June 25, 2026
«[…] ми виявили, що сторонній підрядник був скомпрометований, що дозволило впровадити шкідливий скрипт у фронтенд для частини користувачів. Ми локалізували проблему та видалили уражену залежність. Ми звʼязуємося з постраждалими користувачами та повністю відшкодовуємо їм втрати», — уточнили представники платформи.
Представник Polymarket Коннор Бранді підтвердив TechCrunch, що інцидент призвів до крадіжки користувацьких коштів, але не відповів на додаткові запитання.
Що відомо про атаку
За даними PeckShield, збитки від атаки становлять близько $3 млн.
#PeckShieldAlert Specter повідомив, що, схоже, #phishing-кампанія націлюється на користувачів #Polymarket, виведено близько ~$3 млн у $PUSD.
Зловмисник перебриджив викрадені кошти з #Polygon до #Ethereum і обміняв їх на приблизно 1 893 $ETH. pic.twitter.com/Li4nZY1me4
— PeckShieldAlert (@PeckShieldAlert) June 25, 2026
Аналітик під псевдонімом Specter оцінив втрати приблизно в $2,94 млн і повідомив про понад 11 постраждалих гаманців.
Схоже, може мати місце фішингова атака, націлена на користувачів Polymarket, із орієнтовними втратами $2,94 млн на цей момент.
Зловмисник вивів кошти з 11+ гаманців-жертв, що тримали PUSD, обміняв викрадені активи на ETH і консолідував виручене на такій адресі:… pic.twitter.com/6WfS0JhdDG
— Specter (@SpecterAnalyst) June 25, 2026
За даними Bubblemaps, атака зачепила менше ніж 15 акаунтів. Компанія також опублікувала частину адрес постраждалих користувачів і зазначила, що потенційні збитки вдалося переважно обмежити.
Деякі постраждалі акаунти Polymarket:
0x349606c1b77F3Ba668879CbC9347f15a44cF8fc4
0xFB84a9d631A3a19204B82c78dFeb90b220255fB5
0x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce9
0x987B441a20Dd4AA4bA6d53069E852E7f820adF43
0x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…— Bubblemaps (@bubblemaps) June 25, 2026
За даними Decrypt, зловмисники виводили pUSD із користувацьких гаманців. Згідно з документацією платформи, токен Polymarket у мережі Polygon забезпечений USDC у співвідношенні 1:1, а забезпечення закріплене ончейн через смартконтракт.
Після виведення активи обміняли на ETH і зібрали на одній Ethereum-адресі. На момент написання кошти залишалися на ній. За наявними даними, атака зачепила користувацький інтерфейс, а не смартконтракти Polymarket. Компанія не розкрила, який саме підрядник був зламаний і як довго код перебував на сайті.
Третій подібний епізод за пів року
Атака стала другим інцидентом безпеки Polymarket за останні місяці. У травні платформа зіткнулася з компрометацією приватного ключа гаманця, який використовувався для внутрішніх операцій із поповнення рахунків. За даними Bubblemaps, тодішні збитки сягнули близько $700 000, але користувацькі кошти та розвʼязання ринків, за заявою платформи, не постраждали.
У ширшому контексті це вже третій подібний епізод за пів року. У грудні 2025 року Polymarket повідомляла про злам кількох користувацьких акаунтів через вразливість у стороннього провайдера. Тоді платформа не розкрила точну кількість постраждалих, суму збитків і назву провайдера.
Нагадаємо, у травні хакерським атакам зазнали Ekubo, TrustedVolumes, THORChain, Verus, Echo і Map Protocol.