Polymarket подвергся атаке, 11 кошельков ограблены на 3.1 миллиона долларов, вторая атака на цепочку поставок за полгода.

Polymarket: сумма убытков от атаки на цепочку поставок выросла примерно до $3,1 млн, было разграблено 11 кошельков пользователей; хотя несколько дней назад платформа обещала полный возврат средств, по состоянию на утро субботы публичного ответа не последовало.
(Предыстория: NYT сообщает, что Meta разрабатывает приложение для рынков прогнозов «Arena», Цукерберг завидует Polymarket?)
(Дополнение: очередная тревога безопасности DeFi! Token of Power взломан на $1,58 млн, все украденные средства попали в Tornado Cash)

Децентрализованный рынок прогнозов Polymarket на этой неделе подвергся атаке на цепочку поставок. Согласно обновлению от компании по блокчейн-разведке AMLBot в субботу в X: было разграблено 11 кошельков пользователей, сумма убытков выросла примерно до $3,1 млн. Средства были номинированы в нативном токене платформы PUSD и сразу после кражи были переведены через Polygon на основную сеть Ethereum.

Polymarket Under Attack

У пользователей Polymarket было выведено ~$3,1 млн в PUSD на Polygon через фишинг/вредоносное делегированное выполнение EIP-7702.

Средства были конвертированы в USDC.e через Relay, переведены на Ethereum, обменяны на ETH и консолидированы по… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 июня 2026 г.

Атака на цепочку поставок: вредоносный скрипт внедрялся через фронтенд

Инцидент произошел в четверг. В тот же день Polymarket в официальном заявлении в X сообщил: «Сегодня утром мы обнаружили, что сторонний поставщик был взломан, и в фронтенд некоторых пользователей был внедрен вредоносный скрипт. Мы уже взяли под контроль и удалили затронутую зависимость, связываемся с пострадавшими пользователями и полностью возместим убытки». Платформа подчеркнула, что смарт-контракты Polygon не пострадали, это была атака на цепочку поставок, направленная на интерфейс фронтенда. Злоумышленники проникли через внешние зависимые пакеты, а не через логику контрактов.

Жертва Ash в X рассказала, что кошелек был взломан, и она совершенно не знала причину, осознав это только после того, как средства были переведены. Она публично поделилась адресами своего кошелька и кошелька атакующего, став одним из первых публичных случаев жертв.

Платформа обещает возмещение, но проблемы безопасности не впервые

Связанное лицо, сооснователь Polymarket Уильям ЛеГейт, публично заявил, что полностью возместит убытки, подчеркнув, что пользователи «ничего не потеряют». Однако это не первый случай, когда Polymarket сталкивается с рисками безопасности.

В марте этого года ончейн-исследователь ZachXBT указал, что два смарт-контракта на Polygon, предположительно связанные с Polymarket, были выведены на сумму более $520 000. Платформа тогда ответила, что средства в безопасности. Еще раньше, в декабре прошлого года, после того как пользователи начали сообщать о пропаже средств и подозрительных входах, платформа подтвердила инцидент безопасности в Discord, возложив вину на неизвестного стороннего провайдера входа. Метод атаки был идентичен текущей: взлом стороннего поставщика, фронтенд Polymarket стал трамплином для атаки.

Далее, сможет ли обещание возмещения быть выполнено, удастся ли вернуть $3,1 млн атакующего, и опубликует ли Polymarket полные технические детали уязвимости стороннего поставщика — эти три вопроса станут главным фокусом внимания рынка в ближайшее время.