Платформа предсказаний Polymarket пообещала полностью возместить потери пользователей после атаки через стороннего подрядчика. По оценкам ончейн-аналитиков, злоумышленники похитили около $3 млн.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.— Polymarket Traders (@PolymarketTrade) June 25, 2026
«[...] мы обнаружили, что сторонний подрядчик был скомпрометирован, что позволило внедрить вредоносный скрипт во фронтенд для части пользователей. Мы локализовали проблему и удалили затронутую зависимость. Мы связываемся с пострадавшими пользователями и полностью возмещаем им потери», — уточнили представители платформы.
Представитель Polymarket Коннор Бранди подтвердил TechCrunch, что инцидент привел к краже пользовательских средств, но не ответил на дополнительные вопросы.
Что известно об атаке
По данным PeckShield, ущерб от атаки составил около $3 млн.
#PeckShieldAlert Specter has reported that a #phishing campaign appears to be targeting #Polymarket users, with ~$3M worth of $PUSD drained.The attacker bridged the stolen funds from #Polygon to #Ethereum and swapped them into ~1,893 $ETH. pic.twitter.com/Li4nZY1me4— PeckShieldAlert (@PeckShieldAlert) June 25, 2026
Аналитик под псевдонимом Specter оценил потери примерно в $2,94 млн и сообщил о более чем 11 пострадавших кошельках.
It appears there may be a phishing attack targeting Polymarket users, with estimated losses of $2.94M so far.The attacker has drained funds from 11+ victim wallets holding PUSD, swapped the stolen assets for ETH, and consolidated the proceeds into the following address:… pic.twitter.com/6WfS0JhdDG— Specter (@SpecterAnalyst) June 25, 2026
По данным Bubblemaps, атака затронула менее 15 аккаунтов. Компания также опубликовала часть адресов пострадавших пользователей и отметила, что потенциальный ущерб удалось в основном ограничить.
Some Polymarket accounts affected:0x349606c1b77F3Ba668879CbC9347f15a44cF8fc40xFB84a9d631A3a19204B82c78dFeb90b220255fB50x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce90x987B441a20Dd4AA4bA6d53069E852E7f820adF430x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…— Bubblemaps (@bubblemaps) June 25, 2026
По данным Decrypt, злоумышленники выводили pUSD с пользовательских кошельков. Согласно документации платформы, токен Polymarket в сети Polygon обеспечен USDC в соотношении 1:1, а обеспечение закреплено ончейн через смарт-контракт.
После вывода активы обменяли на ETH и собрали на одном Ethereum-адресе. На момент написания средства оставались на нем. По доступным данным, атака затронула пользовательский интерфейс, а не смарт-контракты Polymarket. Компания не раскрыла, какой именно подрядчик был взломан и как долго код находился на сайте.
Третий похожий эпизод за полгода
Атака стала вторым инцидентом безопасности Polymarket за последние месяцы. В мае платформа столкнулась с компрометацией закрытого ключа кошелька, используемого для внутренних операций по пополнению счетов. По данным Bubblemaps, ущерб тогда составил около $700 000, но пользовательские средства и разрешение рынков, по заявлению платформы, не пострадали.
В более широком контексте это уже третий похожий эпизод за полгода. В декабре 2025 года Polymarket сообщала о взломе нескольких пользовательских аккаунтов из-за уязвимости у стороннего провайдера. Тогда платформа не раскрыла точное число пострадавших, сумму ущерба и название провайдера.
Напомним, в мае хакерским атакам подверглись Ekubo, TrustedVolumes, THORChain, Verus, Echo и Map Protocol.
