Polymarket взломан через подрядчика: хакеры похитили ~$3 млн, возврат обещан

Обновление: 2026/06/26

2 мин. чтения

25 июня 2026 года предикшн-платформа Polymarket подверглась атаке через скомпрометированного стороннего подрядчика. Хакеры внедрили вредоносный код во фронтенд сайта и слили около $3 млн из кошельков менее 15 пользователей. Polymarket заявила о полном возврате средств.

Что произошло
Что это значит

Что произошло

Злоумышленники получили доступ к одному из внешних сервисов, которые использует Polymarket. Имя подрядчика компания не раскрыла. Через этот канал атакующие внедрили вредоносный скрипт непосредственно в интерфейс платформы — то, что пользователь видел на экране, уже содержало опасный код.

Скрипт целенаправленно опустошал кошельки, конвертируя украденные pUSD-стейблкоины в ETH и выводя средства на единый Ethereum-адрес. Ончейн-анализ выявил менее 15 пострадавших аккаунтов.

Polymarket обнаружила атаку, удалила вредоносный код и пообещала «полностью возместить ущерб пострадавшим пользователям». Компания подтвердила, что проблема устранена.

Важный контекст: это уже второй инцидент за два месяца. В мае 2026 года хакеры украли $700 000 с кошелька сотрудника через компрометацию приватного ключа — тогда случай был изолированным. Июньская атака затронула пользователей через сам сайт.

Что это значит

Атака типа «supply chain» (через цепочку поставок) особенно опасна: пользователь не совершал ничего подозрительного — вредоносный код приходил с официального домена Polymarket. Никакая бдительность не помогает, если сам сайт уже скомпрометирован.

Два инцидента подряд — серьёзный сигнал о качестве операционной безопасности платформы. Смарт-контракты могут быть безупречны, но если стек поставщиков уязвим, средства всё равно под угрозой.

Практический вывод для всех, кто работает с DeFi-платформами: храните на веб-интерфейсах только рабочую сумму, которую готовы потерять. Основной капитал — в холодном хранилище. Для крупных транзакций используйте аппаратный кошелёк, который показывает точное содержание подписи на экране устройства, а не в браузере.

Более ранние крупные атаки через устаревшие контракты разбирали в отдельных материалах — тренд атак через подрядчиков становится одним из ключевых векторов в 2026 году.

ТЕГИ:ethereum phishing polymarket scam security

ИСТОЧНИКИ:Decrypt Cointelegraph

ByVolodymyr Polkovnichenko

Связаться:

Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.