Polymarket подтверждает взлом внутренних кошельков; средства пользователей в безопасности

Вступление

14 июня 2026 года Polymarket подтвердил взлом внутреннего кошелька, затронувший систему операционных вознаграждений. Впервые об инциденте сообщила компания Bubblemaps, занимающаяся ончейн-аналитикой; в результате были выявлены подозрительные автоматизированные переводы из кошелька, связанного с распределением наград. Polymarket уточнил, что средства пользователей находятся в безопасности, объяснив случившееся компрометацией приватного ключа, а не какой-либо уязвимостью в ключевых смарт-контрактах платформы. Это различие критично: уязвимость смарт-контракта поставила бы под угрозу каждый доллар на платформе, тогда как компрометация операционного кошелька — ограниченная проблема. Этот инцидент показывает, как современные рынки прогнозов обрабатывают сбои безопасности и архитектурные решения, которые ограничивают ущерб, когда взломы происходят.

Обнаружение: сигналы Bubblemaps и автоматизированные оттоки

Первый публичный сигнал поступил от Bubblemaps — ончейн-инструмента визуализации, который отслеживает кластеры кошельков и потоки токенов в разных сетях. Их автоматизированная система оповещений выявила паттерн оттоков с известного адреса, связанного с Polymarket, в сети Polygon, что сразу вызвало пристальное внимание со стороны более широкой крипто-сообщества по безопасности.

В течение нескольких часов независимые исследователи подтвердили находку. Кошелек был системно опустошён серией идентичных транзакций: каждая перемещала фиксированный объем токенов POL через регулярные интервалы. Механическая точность переводов указывала на автоматизированное выполнение.

Распознавание паттерна: повторяющиеся переводы по 5,000 POL

Злоумышленник выполнял переводы ровно 5,000 POL примерно каждые 12 минут в течение нескольких часов. Такой «дозированный» вывод средств распределяет кражу по десяткам небольших транзакций, а не по одной крупной, которая сразу бы сработала как тревожный сигнал.

К моменту, когда Bubblemaps поднял тревогу, из кошелька ушло примерно 230,000 POL (что на тот момент составляло около $115,000). Единообразие сумм и таймингов сильно указывало на то, что за извлечением стоял скрипт или бот.

Прослеживание адреса злоумышленника в сети Polygon

Ончейн-расследователи быстро установили адрес получателя. У адреса злоумышленника не было истории транзакций до инцидента — это типично для только что сгенерированных кошельков, используемых в эксплойтах. Компании по блокчейн-форензике, включая Chainalysis и Arkham Intelligence, начали помечать связанные адреса в течение 24 часов.

Официальное заявление Polymarket: компрометация внутреннего кошелька

Ответ Polymarket последовал примерно через шесть часов после сигнала Bubblemaps. Платформа опубликовала заявление в X (ранее Twitter) и в своем официальном блоге, подтвердив взлом. В заявлении прямо отмечалось, что не были затронуты балансы пользователей, рыночные позиции или механизмы разрешения. Polymarket описал инцидент как «компрометацию приватного ключа внутреннего операционного кошелька».

Утечка приватного ключа против уязвимости смарт-контрактов

Уязвимость смарт-контракта означает, что в коде, управляющем ключевыми функциями платформы, есть изъян, которым атакующий может воспользоваться. Компрометация приватного ключа означает, что злоумышленнику удалось получить доступ к криптографическому ключу, контролирующему конкретный кошелек. Смарт-контракты платформы работали ровно так, как было задумано; проблема в том, что неуполномоченная сторона получила учётные данные для одного конкретного адреса.

Самый недавний аудит смарт-контрактов Polymarket, проведённый Trail of Bits в начале 2026 года, не выявил критических уязвимостей. Эти результаты аудита подтверждают целостность кода, который управляет средствами пользователей.

Роль операционного кошелька в выплатах вознаграждений

Скомпрометированный кошелек выполнял определенную функцию: распределение наград за ликвидити-майнинг и промо-инцентивов активным трейдерам. В нем находились токены POL, выделенные под эти программы, а не USDC или другие стейблкоины, которые используются для рыночных позиций.

Этот кошелек работал как горячий кошелек, то есть его приватный ключ был сохранён так, чтобы позволять автоматизированные и частые транзакции. Горячие кошельки дают скорость и автоматизацию, но несут более высокий риск, потому что их ключи доступны онлайн-системам.

Оценка влияния и заверения о безопасности пользователей

Финансовый ущерб от этого инцидента оказался относительно ограниченным. Примерно $115,000 в украденных POL — это небольшая доля от общей суммы средств, заблокированных на Polymarket, которая на момент взлома превышала $480 миллионов. Ежедневный объём торгов платформы не пострадал, и ни один рынок не был приостановлен или нарушен.

Изоляция пользовательских депозитов и рыночных разрешений

Средства пользователей на Polymarket хранятся в смарт-контрактах на Polygon и управляются кодом протокола, а не каким-либо одним приватным ключом. Депозиты, выводы средств и разрешения рынков выполняются через эти контракты. Скомпрометированный операционный кошелек не имел полномочий для этих операций.

Операционный кошелек мог только отправлять POL в качестве наград; он не мог взаимодействовать с пользовательскими балансами, изменять параметры рынков или запускать процессы разрешения.

Текущее состояние работы платформы и ликвидность

На момент публикации Polymarket полностью работает. Распределение наград было временно приостановлено, пока команда выполняла ротацию ключей и разворачивала заменяющий кошелек. Платформа подтвердила, что все причитающиеся пользователям невыплаченные награды будут выплачены из отдельного бюджетного распределения.

Ликвидность по ключевым рынкам, включая американские политические рынки прогнозов и контракты на глобальные события, оставалась стабильной. В течение 48 часов после раскрытия не произошло заметного всплеска на вывод средств.

Импликации безопасности для децентрализованных рынков прогнозов

Этот взлом поднимает вопросы о том, как рынки прогнозов управляют напряжением между децентрализацией и операционным удобством. Polymarket работает по гибридной модели: базовая механика рынков реализована в смарт-контрактах, но вспомогательные функции опираются на более традиционную централизованную инфраструктуру.

Риски централизованных операционных кошельков

Любой кошелек, которым управляет один приватный ключ, является целью. Частые векторы атак включают компрометацию рабочих устройств разработчиков или облачных сред, где хранятся ключи, фишинговые атаки, нацеленные на участников команды с доступом к кошелькам, инсайдерские угрозы и атаки на цепочку поставок в программном обеспечении для управления ключами.

Инцидент Polymarket пока не приписан конкретному вектору, хотя платформа заявила, что расследование продолжается при содействии внешних компаний по безопасности.

Лучшие практики для снижения рисков при использовании горячих кошельков

Несколько практик могут снизить риск и последствия компрометации горячего кошелька:

• Использовать multisig-кошельки для любого адреса, который держит значительную стоимость, даже если речь об операционных
• Внедрять лимиты на расходы, которые ограничивают сумму, которую любая отдельная транзакция или период времени может перевести
• Ротировать ключи по регулярному графику и после любых кадровых изменений
• Хранить ключи горячих кошельков в аппаратных модулях безопасности вместо программных решений
• В реальном времени отслеживать оттоки с помощью автоматизированных уведомлений, настроенных на выявление аномальных паттернов

Polymarket указал, что внедрит несколько из этих мер для замены операционного кошелька, включая требования multisig и лимиты расходов на уровне каждой транзакции.

Продолжающийся мониторинг и будущие шаги по устранению

Polymarket обязался опубликовать полный пост-мортем в течение 30 дней, включая первопричину утечки ключа, детальную хронологию и конкретные шаги по ремедиации, которые будут внедрены.

Реакция платформы в целом была прозрачной, что задаёт позитивный прецедент. По мере того как такие платформы, как Polymarket и Kalshi, конкурируют за долю рынка, инциденты безопасности будут всё чаще формировать доверие пользователей и регуляторное восприятие. Взлом, который хорошо обработан — с быстрым раскрытием, ясной коммуникацией и демонстрируемым ограничением ущерба — способен укрепить репутацию платформы.