Prediction-маркет Polymarket подтвердил кражу $2.9 млн в криптовалюте. Злоумышленники внедрили вредоносный скрипт в фронтенд платформы через скомпрометированного стороннего подрядчика и выводили средства с кошельков пользователей в реальном времени. Компания устранила уязвимость и пообещала вернуть деньги всем пострадавшим.
Как произошла атака
Инцидент случился 25 июня 2026 года. Хакеры выбрали supply chain вектор: они скомпрометировали одного из сторонних подрядчиков, чей JavaScript-код интегрирован в фронтенд-инфраструктуру Polymarket, и внедрили туда вредоносный скрипт. Тот автоматически загружался в браузер каждого посетителя сайта и выполнялся во время работы с платформой.
Тип атаки команда Polymarket обозначила как vendor compromise: компрометация произошла не в собственной инфраструктуре, а через одного из технологических партнеров. Команда не видела никаких изменений в своих репозиториях, поэтому уязвимость оставалась активной какое-то время. Вредоносный скрипт перехватывал детали транзакций в браузере жертвы и перенаправлял средства на адреса атакующих.
Такой подход сложнее обнаружить, чем прямую атаку. Злоумышленники не трогают смарт-контракты платформы, а атакуют цепочку поставок ПО, которым она пользуется. Аудиты on-chain логики такие векторы не охватывают.
Масштаб убытков и пострадавшие активы
Общая сумма похищенных средств составила $2.9 млн. Polymarket построен на сети Polygon и использует USDC как основной расчетный актив для ставок. Средства хранятся в смарт-контракте платформы и доступны через подписание транзакций браузерным кошельком.
Именно этот момент подписания и перехватывал вредоносный скрипт. Он подменял адрес получателя непосредственно перед подтверждением, поэтому жертва видела правильную сумму, но средства уходили атакующим. Точное количество пострадавших адресов компания не раскрыла.
По сообщению Decrypt, компания получила сигнал после жалоб пользователей на несанкционированные транзакции. Polymarket удалил пораженную зависимость и приостановил часть сервисов для проверки смежных компонентов.
Реакция Polymarket
После обнаружения компрометации платформа удалила вредоносный компонент, проверила смежные зависимости и восстановила нормальную работу сервиса. По заявлению команды, дальнейшего риска для средств пользователей нет.
Решение о компенсации Polymarket принял самостоятельно, без регуляторного давления. Механизм выплат и точные сроки пока не объявлены. Компания обещает прямой контакт с пострадавшими адресами для подтверждения размера убытков.
- Вредоносная зависимость удалена из production-инфраструктуры
- Проведен аудит смежных компонентов и внешних SDK
- Компенсация охватит 100% подтвержденных убытков
- Конкретные сроки выплат пока уточняются
Угроза supply chain не уходит
Этот инцидент произошел после серии атак, которые сделали Q2 2026 рекордным по убыткам в DeFi-секторе. По отчету Immunefi, за квартал зафиксировано 83 атаки с общими потерями $755 млн. Frontend supply chain уязвимости через npm-пакеты и сторонние SDK вошли в список основных векторов наряду со смарт-контрактными эксплойтами.
Современные web3-платформы зависят от сотен внешних библиотек. Аудиты смарт-контрактов проверяют on-chain логику, но не JavaScript-код фронтенда. Браузерный клиент взаимодействует с запросами на подписание транзакций напрямую, что открывает фронтенд-инъекциям точку входа без on-chain барьеров.
Практическая защита для конечного пользователя: верификация транзакций на аппаратном кошельке Ledger. Подписание происходит на отдельном устройстве, вне браузера, поэтому никакой вредоносный скрипт не может подменить детали транзакции. Это не устраняет все риски, но делает фронтенд-инъекции против таких пользователей практически неэффективными.
Polymarket остается одним из крупнейших prediction-маркетов. Добровольное решение о компенсации убытков может стать ориентиром для других DeFi-платформ в похожих ситуациях.
Комментарии
Ваш e-mail адрес не будет опубликован. Обязательные поля отмечены *