L'enquêteur blockchain ZachXBT a signalé mercredi une suspicion de faille de sécurité chez Polymarket après que plus de 520 000 $ ont été siphonnés de deux contrats intelligents contrôlés par Polymarket sur la blockchain Polygon. Les fonds ont été acheminés vers une adresse unique d'attaquant en quelques heures, selon les données on-chain partagées par ZachXBT.
Les développeurs de Polymarket ont répondu sur X que l'incident provenait d'un compromission de clé privée lié à un portefeuille opérationnel interne connecté au système de paiement des récompenses de la plateforme. L'équipe a souligné que les fonds des utilisateurs et les résolutions de marché restaient inchangés, et a présenté l'événement comme une défaillance de sécurité opérationnelle plutôt que comme un exploit de contrat intelligent ou une brèche de l'infrastructure centrale. L'entreprise n'a pas encore publié de communiqué depuis son compte principal.
Pourquoi c'est important
Le vecteur d'attaque compte autant que le montant en dollars. Un compromission de clé privée sur un portefeuille opérationnel est catégoriquement différent d'un bug de contrat intelligent — cela signifie que la logique on-chain du protocole a tenu, mais qu'un signataire géré par un humain a failli. C'est cette distinction qui explique pourquoi la communication de Polymarket s'appuie sur la sécurité des fonds des utilisateurs, et c'est pourquoi les enquêteurs forensiques traiteront l'affaire comme une intrusion ciblée plutôt que comme une faille systémique.
La brèche survient également dans une période de surveillance accrue des plateformes DeFi, où la gestion opérationnelle des clés s'est régulièrement révélée être le maillon faible de bases de code par ailleurs auditées. Plusieurs exploits de plusieurs millions de dollars au cours de l'année écoulée remontent à des compromissions de clés de signataires plutôt qu'à la logique du protocole, un schéma que ZachXBT a largement documenté.
Impact sur le marché
L'impact direct sur le marché reste contenu. Polymarket est une plateforme de prédiction plutôt qu'un protocole de liquidité, de sorte que les fonds siphonnés ne représentent pas des dépôts d'utilisateurs sous garde. L'effet de second ordre le plus mesurable est d'ordre réputationnel : la crédibilité d'un marché de prédiction repose sur l'intégrité des résolutions, et tout récit — même corrigé — sur des portefeuilles compromis peut ralentir l'intégration institutionnelle et peser sur l'activité de trading de $POL liée à l'écosystème DeFi de Polygon au sens large.
Questions fréquemment posées
-
L'exploit de Polymarket était-il un bug de contrat intelligent ?
Non. Les développeurs de Polymarket ont indiqué que l'incident provenait d'un compromission de clé privée sur un portefeuille opérationnel interne lié au système de paiement des récompenses, et non d'une faille dans les contrats intelligents du protocole ou dans l'infrastructure centrale du marché.
-
Combien a été volé lors de la brèche Polymarket sur Polygon ?
Plus de 520 000 $ ont été siphonnés de deux contrats intelligents contrôlés par Polymarket sur Polygon, selon les données on-chain partagées par l'enquêteur ZachXBT. Les fonds ont été acheminés vers une adresse unique d'attaquant.
-
Les fonds des utilisateurs sur Polymarket sont-ils en sécurité après l'exploit ?
Les développeurs de Polymarket ont indiqué que les fonds des utilisateurs et les résolutions de marché restaient inchangés, car le portefeuille compromis était lié au système interne de paiement des récompenses, et non aux dépôts des utilisateurs ou à la garde des marchés.
-
Qui a signalé la faille de sécurité chez Polymarket ?
L'enquêteur blockchain ZachXBT a signalé publiquement la suspicion de brèche et a partagé les deux adresses contrôlées par Polymarket concernées ainsi que l'adresse de l'attaquant sur la blockchain Polygon.
-
Polymarket a-t-il publié un communiqué officiel sur l'exploit ?
Les développeurs de Polymarket ont répondu via X, mais l'entreprise n'avait pas encore publié de communiqué officiel depuis son compte principal au moment du reportage. D'autres mises à jour de l'équipe sont attendues.