Платформа для ставок на события Polymarket стала жертвой атаки, которая иллюстрирует риски зависимости от сторонних сервисов в Web3-индустрии. Инцидент показал, что даже проекты с безопасными смарт-контрактами могут быть уязвимы через компоненты, интегрированные в их веб-интерфейс. Для пользователей это стало очередным напоминанием о необходимости проявлять бдительность при подтверждении любых транзакций.
Что произошло
Команда Polymarket официально признала факт компрометации. Злоумышленники получили доступ к платформе через стороннего поставщика, отвечавшего за один из элементов кода на сайте. Это позволило им внедрить вредоносный скрипт во фронтенд – видимую для пользователей часть платформы. В результате некоторые посетители сайта видели поддельные всплывающие окна Web3-кошельков. Подтверждая их, пользователи, сами того не зная, подписывали транзакции, которые давали хакерам разрешение на вывод средств. Общий ущерб оценивается почти в $3 млн.
Контекст для рынка
Этот взлом является классическим примером атаки на цепочку поставок (supply chain attack) в криптоиндустрии. Он демонстрирует, что безопасность децентрализованного приложения зависит не только от его основного кода, но и от всех внешних интеграций. Для пользователей в России, как и во всём мире, это сигнал о том, что даже на проверенных площадках необходимо внимательно проверять детали каждой транзакции перед её подписанием. Ситуацию усугубляет тот факт, что критики и участники сообщества предупреждали разработчиков о подобных рисках. Один из пользователей социальной сети X заявил, что сообщал об уязвимости еще 28 апреля 2026 года.
Атака была нацелена на кошельки, где хранились стейблкоины PUSD, которые используются для расчётов на платформе. По данным аналитиков, похищенные средства были оперативно выполнены в несколько шагов:
- Украденные токены PUSD обменивались на Ether (ETH).
-
Полученные ETH выводились из сети Polygon в основную сеть Ethereum через кроссчейн-мосты.
-
По данным компании PeckShield, на одном из адресов хакеров было сконцентрировано около 1 893 ETH.
-
На подозрительную активность в сети обратил внимание известный блокчейн-исследователь ZachXBT.
Что дальше
Команда Polymarket сообщила, что уязвимый компонент был удалён с сайта, и платформа снова безопасна для использования. Разработчики связались с пострадавшими пользователями и публично пообещали полностью возместить все потерянные средства. Ожидается, что этот инцидент заставит другие проекты в сфере DeFi провести более тщательный аудит безопасности не только собственных смарт-контрактов, но и всех сторонних сервисов, которые они используют. Для криптоинвесторов это стало очередным уроком о важности использования аппаратных кошельков и проверки деталей транзакций.
Инцидент с Polymarket подчёркивает, что в децентрализованном мире безопасность является комплексной задачей. Защищённость смарт-контрактов не гарантирует полной безопасности, если уязвимыми остаются внешние точки входа, такие как веб-интерфейсы и интегрированные сервисы.
