«Polymarket підтвердив, що зловмисники скомпрометували стороннього постачальника та використали доступ для введення шкідливого коду в інтерфейс платформи, що призвело до фішингової атаки, яка витягла з користувачів приблизно 2,94 мільйона доларів США. Підсумок Polymarket заявив, що компрометація стороннього постачальника дозволила фішингову атаку, яка викрала близько 2,94 мільйона доларів щонайменше з», — пишуть на: www.crypto.news
Polymarket підтвердив, що зловмисники скомпрометували стороннього постачальника та використали доступ для введення шкідливого коду в інтерфейс платформи, що призвело до фішингової атаки, яка витягла з користувачів приблизно 2,94 мільйона доларів США.
Резюме
- Polymarket заявив, що компрометація стороннього постачальника дозволила фішингову атаку, яка вкрала близько 2,94 мільйона доларів США з щонайменше 11 гаманців користувачів.
- Платформа усунула зловмисну залежність, локалізувала інцидент і заявила, що всі постраждалі користувачі отримають повне відшкодування.
- DefiLlama зафіксувала атаку як 89-е порушення криптобезпеки у другому кварталі, що є найвищим квартальним показником кількості інцидентів у її записах.
Polymarket оголосив на X, що він усунув постраждалу залежність, локалізував інцидент і повністю відшкодує постраждалим користувачам.
Сьогодні вранці ми виявили, що сторонній постачальник був скомпрометований, вставивши шкідливий сценарій у наш зовнішній інтерфейс для деяких користувачів. Ми його локалізували та видалили відповідну залежність. Ми зв’яжемося з постраждалими користувачами та повернемо їм повну суму.
— Polymarket Traders (@PolymarketTrade) 25 червня 2026 р
Аналітик блокчейну Spectre оцінив, що атака витягла кошти щонайменше з 11 гаманців після того, як шкідливий скрипт з’явився на інтерфейсі платформи.
Схоже, що на користувачів Polymarket може бути спрямована фішингова атака, збитки якої наразі становлять 2,94 мільйона доларів.
Зловмисник вивів кошти з понад 11 гаманців жертв, що містять PUSD, обміняв викрадені активи на ETH і консолідував виручені кошти за такою адресою:… pic.twitter.com/6WfS0JhdDG
— Spectre (@SpecterAnalyst) 25 червня 2026 р
Компроміс інтерфейсу націлений на гаманці користувачів
Spectre визначив атаку як фішингову кампанію, а не використання протоколу. Аналітик сказав, що введений скрипт дозволив зловмисникам викрасти кошти з підключених гаманців після того, як користувачі взаємодіяли з скомпрометованим інтерфейсом.
DefiLlama зафіксувала цей інцидент як 89-е повідомлення про порушення криптобезпеки у другому кварталі, що зробило його найвищим квартальним показником кількості інцидентів у записах платформи.
DefiLlama також повідомила про збитки в розмірі 74,9 мільйона доларів через 29 криптоексплойтів протягом червня. Ця сума перевищила 60,5 мільйона доларів у травні, але залишилася значно нижчою за 644 мільйони доларів у квітні.
Платформа назвала експлойт Humanity Protocol вартістю 36 мільйонів доларів як найбільшу атаку червня. Інші серйозні інциденти включали експлойт на суму 4,7 мільйона доларів, пов’язаний з мостом Secret Network, два окремих експлойти на суму 2,1 мільйона доларів, які вплинули на Aztec, і експлойт на міст Taiko на суму 1,7 мільйона доларів.
DefiLlama повідомила, що компрометація приватного ключа спричинила 43% втрат експлойтів за останні 30 днів. Підроблені докази експлойтів становлять 10% втрат, тоді як реверсивні приманки MEV становлять 8%.
Попередній експлойт простежено до зламаного закритого ключа
Компанія Polymarket розкрила окремий інцидент із безпекою приблизно місяцем раніше після того, як зловмисники використали закритий ключ шестирічної давності, який використовувався для внутрішніх операцій поповнення, і вкрали близько 600 000 доларів США.
Дослідники безпеки, зокрема ZachXBT, PeckShield і Bubblemaps, спочатку помітили підозрілу активність, пов’язану з контрактом Polymarket UMA CTF Adapter на Polygon. Bubblemaps повідомили, що зловмисники знімали 5000 POL кожні 30 секунд, перш ніж оцінити загальні втрати приблизно в 600 000 доларів США.
Співавтор протоколу Polymarket Shantikiran Chanal пізніше пояснив цей інцидент скомпрометованим гаманцем, який використовувався для внутрішніх операцій, а не вразливістю в контрактах платформи чи основній інфраструктурі.
Джош Стівенс, віце-президент компанії з розробки, заявив у той час, що кошти користувачів і смарт-контракти залишаються в безпеці, а всі дозволи, пов’язані зі зламаним ключем, були скасовані.