Лидер рынка предикшн-маркетов Polymarket стал жертвой изощренной атаки, в результате которой как минимум 11 пользователей лишились своих средств на общую сумму $2,94 млн. Как установили форензик-аналитики из PeckShield, инцидент обошелся без классического взлома базовой логики смарт-контрактов. Злоумышленники пошли обходным путем, скомпрометировав сторонний компонент веб-интерфейса платформы. Внедренный вредоносный скрипт модифицировал фронтенд сайта, генерируя для посетителей фальшивые окна подключения Web3-кошельков.
Механика обмана строилась на незаметной подмене криптографических запросов. Когда пользователи пытались подтвердить размещение ставок, вредоносный код подсовывал им на подпись транзакции, которые фактически предоставляли хакерам безлимитный доступ на вывод средств. Главной мишенью атакующих стали стейблкоины PUSD, выступающие базовым расчетным активом экосистемы. Похищенную ликвидность мошенники мгновенно конвертировали в эфир, после чего «запутали» следы, перебросив активы из сети Polygon в мейннет Ethereum. Аналитики зафиксировали консолидацию украденных средств в объеме около 1 893 ETH на едином адресе-накопителе.
Команда Polymarket оперативно отреагировала на кризис: уязвимый фрагмент кода был экстренно вычищен, а штатная работа платформы восстановлена. Руководство сервиса поспешило успокоить сообщество, подчеркнув, что ядро системы — базовые смарт-контракты, пулы ликвидности и механизм разрешения споров — не пострадало и остается в полной безопасности. Более того, администрация предикшн-маркета взяла на себя финансовые обязательства, гарантировав стопроцентную компенсацию убытков всем клиентам, пострадавшим в ходе этой фишинговой атаки.