Prediction-маркет Polymarket підтвердив крадіжку $2.9 млн у криптовалюті. Зловмисники впровадили шкідливий скрипт у фронтенд платформи через скомпрометованого стороннього підрядника і виводили кошти з гаманців користувачів у реальному часі. Компанія усунула вразливість та пообіцяла відшкодувати збитки всім постраждалим.
Як відбулася атака
Інцидент стався 25 червня 2026 року. Хакери обрали supply chain вектор: вони скомпрометували одного зі сторонніх підрядників, чий JavaScript-код інтегрований у фронтенд-інфраструктуру Polymarket, і впровадили туди шкідливий скрипт. Той автоматично завантажувався у браузер кожного відвідувача сайту і виконувався під час роботи з платформою.
Тип атаки команда Polymarket позначила як vendor compromise: компрометація відбулася не у власній інфраструктурі, а через одного з технологічних партнерів. Команда не бачила жодних змін у своїх репозиторіях, тому вразливість залишалась активною певний час. Шкідливий скрипт перехоплював деталі транзакцій у браузері жертви та перенаправляв кошти на адреси атакуючих.
Такий підхід складніший у виявленні, ніж пряма атака. Зловмисники не торкаються смарт-контрактів платформи, а атакують ланцюг постачання ПЗ, яким вона користується. Аудити on-chain логіки таких векторів не охоплюють.
Масштаб збитків і постраждалі активи
Загальна сума вкрадених коштів склала $2.9 млн. Polymarket побудований на мережі Polygon і використовує USDC як основний розрахунковий актив для ставок. Кошти зберігаються у смарт-контракті платформи і доступні через підписання транзакцій браузерним гаманцем.
Саме цей момент підписання і перехоплював шкідливий скрипт. Він замінював адресу отримувача безпосередньо перед підтвердженням, тому жертва бачила коректну суму, але кошти йшли до атакуючих. Точну кількість постраждалих адрес компанія не оприлюднила.
За повідомленням Decrypt, компанія отримала сигнал після скарг користувачів на несанкціоновані транзакції. Polymarket видалив уражену залежність та призупинив частину сервісів для перевірки суміжних компонентів.
Реакція Polymarket
Після виявлення компрометації платформа видалила шкідливий компонент, перевірила суміжні залежності та відновила нормальну роботу сервісу. За заявою команди, подальшого ризику для коштів користувачів немає.
Рішення про відшкодування Polymarket прийняв самостійно, без регуляторного тиску. Механізм виплат і точні терміни поки не оголошені. Компанія обіцяє прямий зв'язок із постраждалими адресами для підтвердження розміру збитків.
- Шкідливу залежність видалено з production-інфраструктури
- Проведено аудит суміжних компонентів та зовнішніх SDK
- Відшкодування охопить 100% підтверджених збитків
- Конкретні терміни виплат поки уточнюються
Загроза supply chain не зникає
Цей інцидент відбувся після серії атак, що зробили Q2 2026 рекордним за збитками у DeFi-секторі. За звітом Immunefi, за квартал зафіксовано 83 атаки із загальними втратами $755 млн. Frontend supply chain вразливості через npm-пакети та сторонні SDK увійшли до переліку основних векторів поряд зі смарт-контрактними експлойтами.
Сучасні web3-платформи залежать від сотень зовнішніх бібліотек. Аудити смарт-контрактів перевіряють on-chain логіку, але не JavaScript-код фронтенду. Браузерний клієнт взаємодіє із запитами на підписання транзакцій напряму, що відкриває фронтенд-ін'єкціям точку входу без on-chain бар'єрів.
Практичний захист для кінцевого користувача: верифікація транзакцій на апаратному гаманці Ledger. Підписання відбувається на окремому пристрої, поза браузером, тому жоден шкідливий скрипт не може підмінити деталі транзакції. Це не усуває всі ризики, але робить фронтенд-ін'єкції проти таких користувачів практично неефективними.
Polymarket залишається одним з найбільших prediction-маркетів. Добровільне рішення про відшкодування збитків може стати орієнтиром для інших DeFi-платформ у схожих ситуаціях.
Коментарі
Ваша e-mail адреса не оприлюднюватиметься. Обов'язкові поля позначені *