Polymarket a indiqué que le frontend de son site avait été injecté avec du code malveillant après la compromission d'un prestataire tiers, permettant à des attaquants de dérober environ 3 millions de dollars sur des comptes utilisateurs. L'analyse on-chain a retracé les fonds volés, principalement le stablecoin pUSD de la plateforme, vers moins de 15 portefeuilles affectés avant que les produits ne soient échangés contre de l'ETH.
Pourquoi c'est important
L'exploitation est passée par un fournisseur compromis plutôt que par les contrats principaux de Polymarket, que la société affirme intacts et désormais corrigés. Cette distinction compte pour la solvabilité du protocole, mais elle change peu la donne pour les utilisateurs touchés, dont les pertes étaient bien réelles, peu importe où le code résidait. L'incident survient aussi alors qu'il s'agit du second événement de sécurité pour Polymarket en moins de deux mois, un schéma qui commence à ressembler à une exposition structurelle plutôt qu'à un cas isolé.
Impact sur le marché
Polymarket s'est engagé à rembourser intégralement les utilisateurs affectés, ce qui plafonne le dommage financier direct mais n'épuise pas la question plus profonde soulevée ici : quand le frontend d'une plateforme dépend de prestataires tiers, la compromission d'un fournisseur devient un événement de confiance pour l'utilisateur, et non un simple problème informatique interne. Les places de marchés prédictifs liront cela de près, notamment pour identifier quelles intégrations donnent accès aux portefeuilles et avec quelle rigueur ces dépendances sont examinées.
Source : [Polymarket to Refund Users After Scammers Swipe Millions in Website Exploit — Decrypt](https://decrypt.co/372129/polymarket-refund-users-scammers-swipe-millions-website-exploit)
Questions fréquemment posées
-
Comment les utilisateurs de Polymarket ont-ils été vidés ?
Polymarket a indiqué que le frontend de son site avait été injecté avec du code malveillant après la compromission d'un prestataire tiers, laissant des attaquants dérober environ 3 millions de dollars sur des comptes utilisateurs.
-
Combien d'utilisateurs ont été affectés ?
L'analyse on-chain a montré que moins de 15 portefeuilles avaient été touchés, les fonds volés étant principalement en pUSD, le stablecoin de la plateforme, avant d'être échangés contre de l'ETH.
-
Les utilisateurs de Polymarket seront-ils remboursés ?
Polymarket a indiqué que la vulnérabilité avait été corrigée et que les utilisateurs affectés seraient intégralement remboursés, ce qui limite le dommage financier direct.
-
Le protocole principal de Polymarket a-t-il été compromis ?
La société a affirmé que ses contrats principaux n'avaient pas été touchés et que l'attaque était passée par un prestataire tiers compromis intégré au frontend du site.
-
Est-ce le premier incident de sécurité pour Polymarket ?
Non. Il s'agit du second incident de sécurité pour Polymarket en moins de deux mois, ce qui soulève des questions sur une exposition structurelle au risque fournisseur.
WatcherGuru
TheBlock
CoinDesk
Crypto Capital Venture
CryptoSlate
Lookonchain
CoinTelegraph