Polymarket a connu un drain en direct de tokens POL qui a brièvement ressemblé à un exploit au niveau des contrats, mais l’équipe a depuis écarté cette piste et orienté l’enquête vers la couche de connexion centralisée de la plateforme. L’incident est le test de résistance sécuritaire le plus visible qu’ait traversé le secteur des marchés prédictifs depuis qu’il a franchi les seuils d’adoption grand public en 2025.
Pourquoi c’est important
La catégorie des marchés prédictifs crypto a généré en 2025 un volume d’échanges d’environ 64 milliards de dollars — son moment d’adéquation produit–marché — mais l’écrasante majorité de ces flux transite encore par des connexions de type e-mail, social ou custodial, plutôt que par des wallets en self-custody. Cela rend l’onboarding facile et permet aux plateformes de ressembler à des applications grand public, mais cela concentre aussi la surface d’attaque : les clés qui protègent les soldes des utilisateurs vivent sur une infrastructure que Polymarket opère elle-même, et non on-chain. Un drain qui n’est pas un exploit de contrat est, par définition, un exploit de la couche de connexion, et c’est le risque structurel que le reste de la catégorie est en train de réestimer.
Impact sur le marché
Le $POL a décroché lors de la divulgation, et les plateformes concurrentes de marchés prédictifs dotées de piles de connexion similaires ont reculé par contagion, même si leurs contrats n’étaient pas mis en cause. La suite de l’histoire, sur la durée, est réglementaire : les marchés prédictifs se sont jusqu’ici maintenus dans une zone grise où leurs mécanismes de résolution ne sont formellement enregistrés ni comme dérivés ni comme paris, et un drain fondé sur des identifiants rend cette ambiguïté plus difficile à défendre face aux décideurs publics américains et européens qui tournent déjà autour du secteur.
Questions fréquemment posées
-
Polymarket a-t-il été piraté ?
L’équipe Polymarket a écarté la piste d’un exploit au niveau des contrats. Le drain actif de $POL est traité comme un problème d’identifiants ou de couche de connexion, et non comme un bug dans les contrats on-chain.
-
Comment les tokens POL ont-ils pu être drainés si les contrats sont sains ?
Les plateformes de marchés prédictifs comme Polymarket font transiter la plupart des sessions retail par des connexions centralisées, ce qui signifie que les clés de session vivent sur une infrastructure qu’elles opèrent. Un drain qui n’est pas un exploit de contrat passe donc par ces identifiants.
-
Pourquoi la couche de connexion est-elle le risque structurel des marchés prédictifs ?
Les marchés prédictifs crypto ont généré environ 64 milliards de dollars en 2025, mais l’immense majorité de ces flux est passée par des logins e-mail, sociaux ou custodial plutôt que par des wallets en self-custody. L’onboarding facile concentre la surface d’attaque sur une infrastructure que la plateforme contrôle…
-
Qu’est-il arrivé au prix du $POL pendant l’incident ?
Le $POL a décroché lors de la divulgation, et les plateformes concurrentes de marchés prédictifs dotées de piles de connexion similaires ont reculé par contagion, même si leurs contrats n’étaient pas impliqués dans le drain.
-
Cet incident peut-il déclencher une régulation des marchés prédictifs ?
Les régulateurs américains et européens examinent déjà depuis un moment les règles de résolution des marchés prédictifs. Un drain fondé sur des identifiants rend la défense « nous ne sommes pas une plateforme de paris » plus difficile à soutenir dans toute future discussion sur l’application du droit ou l’écriture des…