Polymarket: 3 miliony dolarů v kryptoměnách zmizelo po útoku na dodavatele. Důvěra v platformu je v troskách

Dne 25. června 2026 se platforma pro predikční trhy Polymarket stala terčem rozsáhlého kybernetického útoku, při kterém útočníci odčerpali přibližně 3 miliony dolarů z peněženek uživatelů. Incident se odehrál pouhých pět dní poté, co investigativní reportáž deníku Wall Street Journal odhalila, že si Polymarket platil tvůrce za videa, která falešně ukazovala velké výhry. Toto načasování proměnilo jinak závažný bezpečnostní incident v hlubokou důvěryhodnostní krizi a vyvolalo otázky nejen o zabezpečení platformy, ale i o její integritě a ochotě chránit své uživatele.

Jak k útoku na 3 miliony dolarů došlo

Útočníci narušili bezpečnost neidentifikovaného externího dodavatele, kterého Polymarket využíval pro přední část svého webu (frontend). Jakmile získali přístup, vložili do frontendu platformy škodlivý JavaScriptový kód, který u části uživatelů spustil útok typu phishing. Důležité je, že samotné blockchainové smart kontrakty a základní infrastruktura napadeny nebyly — útok se odehrál výhradně prostřednictvím narušení dodavatelského řetězce .

Klíčové technické detaily:

• Cíl: Škodlivý skript zacílit na méně než 15 účtů; data z blockchainové analytické platformy Bubblemaps ukazují, že byly vyprázdněny peněženky nejméně 11 uživatelů .
• Ukradená aktiva: Útočníci se zaměřili na pUSD (Polymarketův mostem propojený USDC na síti Polygon). Získané prostředky převedli z Polygonu na Ethereum a směnili je za přibližně 1 893 ETH .
• Odhad ztráty: Nezávislý bezpečnostní analytik Specter stanovil potvrzenou ztrátu na 2,94 milionu dolarů, Polymarket a řada zdrojů uvádí zaokrouhleně 3 miliony dolarů .

Tento útok zneužívá klasickou slabinu kryptoměnových platforem: i když jsou blockchainové smart kontrakty bezpečné, závislost na externích dodavatelích může vytvářet zranitelná místa. Uživatelé, kteří interagovali s legitimním webem Polymarketu, byli oklamáni, aby schválili podvodné transakce, protože škodlivý kód běžel na skutečné doméně platformy .

Bezpečnostní opatření, která Polymarket přijal

Bezprostřední reakce Polymarketu, oznámená na platformě X/Twitter, zahrnovala:

• Zastavení útoku a odstranění kompromitované komponenty externího dodavatele z frontendu
• Plnou náhradu škody všem postiženým uživatelům — společnost se zavázala, že oběti odškodní v plné výši
• Probíhající vyšetřování, Polymarket však odmítl jmenovat konkrétního dodavatele

Reakce byla rychlá — společnost útok odhalila a potvrdila ještě téhož rána, kdy k němu došlo. Pro Polymarket to však byl druhý bezpečnostní incident během necelých dvou měsíců. V polovině května 2026 došlo k hacknutí interní peněženky, které mělo za následek ztrátu přibližně 700 000 dolarů po kompromitaci soukromého klíče . Tento dřívější incident sice přímo neohrozil finanční prostředky uživatelů, ale poukázal na slabiny v provozní bezpečnosti Polymarketu, které červnový útok na dodavatelský řetězec jen potvrdil.

Skandál s klamavým marketingem

Jen několik dní před hackem, 20. června 2026, zveřejnil deník Wall Street Journal (WSJ) výbušnou investigativní zprávu, která odhalila, že Polymarket platil tvůrcům na sociálních sítích za výrobu videí, která falešně ukazovala, jak uživatelé na platformě vyhrávají velké sumy .

Klíčová zjištění z vyšetřování WSJ:

• Analytici přezkoumali 1 105 videí o Polymarketu na sociálních platformách. 778 z nich ukazovalo falešné sázky na klonovaných stránkách — žádné z nich nevyužívalo skutečnou burzu Polymarketu .
• Videa dohromady vykazovala fiktivní výhry v celkové výši 1,9 milionu dolarů .
• Polymarket poskytl tvůrcům instrukční materiály, jak sázky inscenovat .
• Dne 26. června 2026 — den po hacku — podala Národní asociace spotřebitelských advokátů (National Association of Consumer Advocates) žalobu, v níž Polymarket obviňuje z organizování klamavého marketingového schématu, placení skryté reklamy a agresivního cílení na vysokoškolské studenty, přičemž zamlčuje pravděpodobnost prohry .
• Polymarket reagoval prohlášením, že provádí audit svého propagačního obsahu .

Zpráva WSJ dále uvádí, že marketingová agentura Virality, která spravovala síť tvůrců, platila jednotlivým tvůrcům měsíčně 2 000 až 3 000 dolarů. Platby byly podmíněny tím, že alespoň 60 % jejich publika pocházelo ze Spojených států, a to navzdory regulační nejistotě kolem predikčních trhů .

Jak se tyto krize vzájemně zesilují

Série po sobě jdoucích skandálů vytváří pro Polymarket hlubokou důvěryhodnostní krizi, která se projevuje v několika rovinách:

Rozměr	Dopad
Bezpečnost a důvěra	Dva průniky během dvou měsíců — kompromitace interní peněženky v květnu a útok na dodavatelský řetězec za 3 miliony dolarů v červnu — ukazují na nedostatečné řízení rizik spojených s externími dodavateli
Provozní integrita	Skandál s falešnými videi dokazuje, že Polymarket dobrovolně uvedl veřejnost v omyl ohledně výsledků sázek. Uživatelé nyní mají důvod pochybovat o tom, zda je jakýkoli propagační obsah — nebo dokonce data o trzích — skutečný
Regulační riziko	Žaloba spotřebitelských advokátů v kombinaci s hackem posiluje argumenty pro regulační zásah. Polymarket se již dříve potýkal s pozorností americké Komise pro obchodování s komoditními futures (CFTC) a v roce 2024 uzavřel s Komisí pro cenné papíry (SEC) dohodu o narovnání ve výši 1,4 miliardy dolarů za provozování neregistrované burzy
Důvěra uživatelů	Platforma, která se uchyluje k fabrikaci výherních scénářů a zároveň nedokáže zabezpečit svůj frontend před známým typem útoku (injektáž JavaScriptu přes dodavatelský řetězec), dává uživatelům jen málo důvodů, aby jí svěřili své skutečné peníze

Načasování je klíčové: hack přišel pět dní po zveřejnění zprávy WSJ, takže bezpečnostní selhání okamžitě potvrdilo hlasy kritiků, kteří tvrdili, že provozní a etické standardy Polymarketu jsou nebezpečně uvolněné. Společnost nyní čelí současné bezpečnostní, právní a reputační krizi, aniž by byla v dohledu jasná cesta k obnovení důvěry uživatelů.

Širší dopady pro kryptoměnové platformy

Útok na dodavatelský řetězec Polymarketu je součástí širšího trendu v oblasti bezpečnosti kryptoměn. Útoky na dodavatelský řetězec, které cílí na externí dodavatele, jsou stále častější, protože obcházejí silné zabezpečení blockchainové infrastruktury. Vektor útoku — škodlivá injektáž JavaScriptu prostřednictvím kompromitované závislosti frontendu — je dobře známý, ale obtížně předcházetelný bez důkladného prověřování dodavatelů a kontroly integrity kódu .

Pro uživatele, kteří interagují s jakoukoli kryptoměnovou platformou, incident Polymarketu zdůrazňuje několik ponaučení:

• Bezpečnost smart kontraktů nestačí, pokud jsou kompromitovány závislosti frontendu
• Riziko spojené s externími dodavateli vyžaduje nepřetržité monitorování, nejen počáteční due diligence
• Několik bezpečnostních incidentů v krátkém sledu naznačuje systémové slabiny, nikoli ojedinělá selhání

Případ Polymarketu rovněž poukazuje na reputační škody, které nastanou, když bezpečnostní selhání přijdou bezprostředně po odhalení klamavého marketingu. Uživatelé si mohou klást otázku: pokud je platforma ochotna klamat veřejnost ohledně výher, o čem dalším je ochotna klamat?

Polymarket se zavázal k plnému odškodnění všech postižených uživatelů, ale společnost neprozradila, který dodavatel byl kompromitován, ani neposkytla podrobnosti o tom, jak bude do budoucna podobným incidentům předcházet . Bez transparentnosti a smysluplného zlepšení bezpečnostních opatření bude obnova důvěry uživatelů velmi obtížná.