Децентрализованная платформа для прогнозирования Polymarket подверглась атаке злоумышленников, в результате которой было похищено $2,9 млн. Команда проекта уже заявила, что все пострадавшие пользователи получат полное возмещение.
Вредоносный скрипт внедрили в интерфейс платформы
Злоумышленники внедрили вредоносный скрипт в пользовательский интерфейс (фронтенд) платформы. После обнаружения атаки Polymarket оперативно локализовала компрометацию и удалила заражённую зависимость — сторонний код, который использовался в работе сайта.
Ранее мы писали, что 60% игроков на Polymarket во время ЧМ-2022 впервые попробовали криптовалюту, что подчеркивает популярность платформы среди новичков.
В официальном заявлении компания подчеркнула, что инцидент был быстро взят под контроль. Точная сумма ущерба — $2,9 млн — уже подтверждена, и все пользователи, чьи активы пострадали, будут компенсированы в полном объёме.
Атака нацелена именно на фронтенд — видимую часть сайта, с которой взаимодействуют пользователи. Вредоносный код мог подменять данные на экране или перехватывать транзакции.
Компрометация через цепочку поставок кода
Polymarket не раскрывает детали того, как именно скрипт попал в код платформы. Сам факт компрометации через зависимость указывает на уязвимость в цепочке поставок программного обеспечения — когда вредонос встраивается в один из открытых модулей, которые разработчики подключают для ускорения работы.
Этот инцидент произошел на фоне того, что второй квартал 2026 года стал рекордным по числу взломов, когда было зафиксировано 83 инцидента с общим ущербом $755 млн.
Такие инциденты становятся всё более распространёнными в криптоиндустрии. В отличие от взлома смарт-контрактов, атаки на фронтенд не затрагивают базовый блокчейн, но позволяют злоумышленникам обманывать пользователей на уровне интерфейса.
Почему инцидент важен для пользователей DeFi
Polymarket — крупнейшая платформа для ставок на исход реальных событий, работающая на блокчейне. Ранее проект уже сталкивался с критикой из-за недостаточной прозрачности механизмов безопасности. Этот инцидент произошёл на фоне общего роста интереса к платформам децентрализованных прогнозов (DeFi-сектор), которые привлекают как розничных, так и институциональных пользователей.
Для русскоязычного сообщества эта новость — прямое напоминание о рисках, связанных с использованием DeFi-сервисов. Даже если базовый протокол защищён, уязвимость на уровне интерфейса может привести к потере средств. Проверка адресов кошельков и использование аппаратных кошельков при работе с такими платформами остаётся обязательной мерой предосторожности.
Polymarket обещает полное возмещение всем пострадавшим пользователям — это снижает панику, но не отменяет системной проблемы безопасности в DeFi.
В ближайшее время стоит ожидать публикации детального отчёта от Polymarket о том, как именно произошла атака и какие меры приняты для предотвращения подобных инцидентов в будущем. Пока же проект сосредоточен на возврате средств пользователям и укреплении своей инфраструктуры.