Jeden z dostawców zewnętrznych Polymarket padł ofiarą ataku hakerskiego w czwartek, poinformował rynek przewidywań, co uczyniło jego stronę internetową podatną na exploit, który zdaniem analityków doprowadził do utraty milionów dolarów przez użytkowników platformy.
Polymarket odmówił komentarza, gdy skontaktował się z nim Decrypt, i publicznie nie ujawnił, który z jego dostawców został skompromitowany. Jednak atak pozwolił hakerom na wstrzyknięcie złośliwego kodu do front-endu rynku przewidywań, podała firma w poście na X.
Ostatecznie hakerzy ukradli około 3 miliony dolarów środków klientów.
Detektywi on-chain z Bubblemaps stwierdzili, że potencjalne szkody wynikające z włamania zostały w dużej mierze ograniczone, a dotkniętych zostało mniej niż 15 kont użytkowników. Firma zajmująca się dochodzeniami w sprawie blockchain nie odpowiedziała natychmiast na prośbę Decrypt o komentarz.
Some Polymarket accounts affected:
0x349606c1b77F3Ba668879CbC9347f15a44cF8fc4
0xFB84a9d631A3a19204B82c78dFeb90b220255fB5
0x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce9
0x987B441a20Dd4AA4bA6d53069E852E7f820adF43
0x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…— Bubblemaps (@bubblemaps) June 25, 2026
Polymarket poinformował, że jest w trakcie pełnego zwrotu środków poszkodowanym klientom oraz że problem z front-endem został opanowany i usunięty.
Na razie nie jest jasne, jakie kroki może podjąć platforma rynku przewidywań, aby zapobiec podobnym exploitom w przyszłości, biorąc pod uwagę, że opiera się ona na zewnętrznych firmach trzecich, które najwyraźniej są bezpośrednio zaangażowane w działanie witryny.
Wygląda na to, że atakujący opróżnili środki z portfeli klientów Polymarket zawierających pUSD, stablecoin powiązany z dolarem, specyficzny dla Polymarket i wspierany przez USDC, który służy do ułatwiania wszystkich transakcji na platformie. Następnie zamienili skradzione środki na ETH i zgromadzili je w portfelu Ethereum, gdzie, w chwili pisania tego tekstu, nadal się znajdują.
W zeszłym miesiącu Polymarket ucierpiał z powodu innego włamania, dotyczącego portfela używanego przez pracowników firmy do zasilania i wypłacania nagród dla użytkowników. Eksploit kosztował firmę około 700 000 dolarów i prawdopodobnie był spowodowany kompromitacją klucza prywatnego. Według ekspertów w tamtym czasie nie wpłynęło to na infrastrukturę firmy ani nie stanowiło szerszych zagrożeń.
Jednak zarówno tamten exploit, jak i dzisiejszy, wskazują na zdolność hakerów do infiltracji dużych firm na obrzeżach, nawet gdy podstawowe protokoły pozostają bezpieczne.
