25 червня 2026 року предикшн-платформа Polymarket зазнала атаки через скомпрометованого стороннього підрядника. Хакери впровадили шкідливий код у фронтенд сайту і злили близько $3 млн із гаманців менше 15 користувачів. Polymarket заявила про повне відшкодування.
Що сталося
Зловмисники отримали доступ до одного з зовнішніх сервісів Polymarket. Ім’я підрядника компанія не розкрила. Через цей канал атакуючі впровадили шкідливий скрипт безпосередньо в інтерфейс платформи — те, що користувач бачив на екрані, вже містило небезпечний код.
Скрипт цілеспрямовано спустошував гаманці: конвертував вкрадені pUSD-стейблкоїни в ETH і виводив кошти на єдину Ethereum-адресу. Ончейн-аналіз виявив менше 15 постраждалих акаунтів.
Polymarket виявила атаку, видалила шкідливий код і пообіцяла «повністю відшкодувати збитки постраждалим користувачам». Компанія підтвердила, що проблему усунено.
Важливий контекст: це вже другий інцидент за два місяці. У травні 2026 року хакери вкрали $700 000 з гаманця співробітника через компрометацію приватного ключа — тоді випадок був ізольованим. Червнева атака зачепила користувачів через сам сайт.
Що це означає
Атака типу «supply chain» (через ланцюжок постачань) особливо небезпечна: користувач нічого підозрілого не робив — шкідливий код надходив з офіційного домену Polymarket. Жодна пильність не допомагає, якщо сам сайт уже скомпрометований.
Два інциденти поспіль — серйозний сигнал щодо якості операційної безпеки платформи. Смарт-контракти можуть бути бездоганними, але якщо стек постачальників вразливий — кошти все одно під загрозою.
Практичний висновок для всіх, хто працює з DeFi-платформами: зберігайте у веб-інтерфейсах лише робочу суму, яку готові втратити. Основний капітал — у холодному зберіганні. Для великих транзакцій використовуйте апаратний гаманець: він показує точний вміст підпису на власному екрані, а не в браузері.
Тренд атак через підрядників стає одним із ключових векторів у 2026 році.
