Polymarketin 3 miljoonan dollarin toimitusketjuhakkerointi: Näin hyökkääjät veivät käyttäjien varoja – ja miksi tekaistujen vetojen skandaali pahensi tilannetta

Hyökkäys hyödynsi kryptoplatformien klassista heikkoutta: vaikka lohkoketjun älysopimukset ovat turvallisia, kolmannen osapuolen riippuvuudet voivat tuoda haavoittuvuuksia. Käyttäjät, jotka olivat vuorovaikutuksessa aidon Polymarket-verkkosivuston kanssa, huijattiin hyväksymään petollisia liiketoimia, koska haitallinen koodi toimi alustan omalla verkkotunnuksella .

Polymarketin toteuttamat turvatoimet

Polymarketin välitön vastaus, joka julkaistiin X/Twitterissä, sisälsi:

• Hyökkäyksen pysäyttäminen ja vaarantuneen kolmannen osapuolen riippuvuuden poistaminen etupäästä
• Täydet hyvitykset kaikille kärsineille käyttäjille – yritys sitoutui korvaamaan uhrien menetykset
• Jatkuva tutkinta, vaikka Polymarket kieltäytyi nimeämästä asianomaista toimittajaa

Vastaus oli nopea – yritys havaitsi ja vahvisti hyökkäyksen samana aamuna, jolloin se tapahtui. Tämä oli kuitenkin Polymarketin toinen tietoturvahäiriö alle kahdessa kuukaudessa. Toukokuun puolivälissä 2026 tapahtuneessa sisäisen lompakon hakkerointihyökkäyksessä menetettiin noin 700 000 dollaria yksityisen avaimen kompromitoinnin jälkeen . Tuo aikaisempi tapaus ei vaikuttanut suoraan käyttäjien varoihin, mutta se osoitti heikkouksia Polymarketin operatiivisessa turvallisuudessa, jotka kesäkuun toimitusketjuhyökkäys vahvisti.

Harhaanjohtavan markkinoinnin skandaali

Vain muutama päivä ennen hakkerointia, 20. kesäkuuta 2026, Wall Street Journal julkaisi paljastavan tutkinnan, jonka mukaan Polymarket oli maksanut sosiaalisen median sisällöntuottajille tekaistujen voittovetovideoiden tekemisestä .

Keskeiset löydökset WSJ:n tutkinnasta:

• Analyytikot tarkastivat 1 105 videota, jotka käsittelivät Polymarkettia eri alustoilla. 778 niistä esitti tekaistuja vetoja kopiosivustoilla – yksikään ei käyttänyt oikeaa Polymarket-alustaa .
• Videot väittivät yhteensä näyttävän voittoja, joiden arvo oli 1,9 miljoonaa dollaria .
• Polymarket toimitti sisällöntuottajille ohjemateriaaleja vetojen lavastamiseen .
• 26. kesäkuuta 2026 – päivä hakkerin jälkeen – National Association of Consumer Advocates nosti kanteen syyttäen Polymarkettia harhaanjohtavan markkinointijärjestelyn järjestämisestä, salaisista mainoksista ja aggressiivisesta kohdistamisesta opiskelijoihin samalla, kun se peitti tappioiden todennäköisyydet .
• Polymarket vastasi ilmoittamalla tarkistavansa mainossisältönsä .

WSJ:n raportissa kerrottiin, kuinka markkinointiyhtiö Virality hallinnoi sisällöntuottajaverkostoa ja maksoi tuottajille 2 000–3 000 dollaria kuukaudessa – maksut olivat ehdollisia sille, että vähintään 60 % heidän yleisöstään oli yhdysvaltalaisia, huolimatta ennustemarkkinoiden sääntelyepävarmuudesta .

Miten nämä kriisit vahvistavat toisiaan

Peräkkäiset skandaalit luovat kumuloituvan luottamuskriisin useilla ulottuvuuksilla:

Ajoitus on ratkaiseva: hakkerointi tapahtui viisi päivää WSJ:n tutkinnan jälkeen, joten tietoturvahäiriö vahvisti välittömästi kriitikoiden väitteet, joiden mukaan Polymarketin toimintatavat ja eettiset standardit olivat vaarallisen löyhät. Yritys kohtaa nyt samanaikaisesti tietoturva-, oikeudellisen ja mainekriisin, jolla ei ole selvää polkua käyttäjien luottamuksen palauttamiseen.

Laajemmat vaikutukset kryptoalustoille

Polymarketin toimitusketjuhyökkäys on osa laajempaa mallia kryptoturvallisuudessa. Toimitusketjuhyökkäykset, jotka kohdistuvat kolmannen osapuolen toimittajiin, ovat yhä yleisempiä, koska ne ohittavat lohkoketjuinfrastruktuurin vahvan suojan. Hyökkäysvektori – haitallisen JavaScriptin injektointi vaarantuneen etupään riippuvuuden kautta – on tunnettu, mutta sitä on vaikea estää ilman tiukkaa toimittajien seulontaa ja koodin eheyden valvontaa .

Käyttäjille, jotka ovat vuorovaikutuksessa kryptoalustojen kanssa, Polymarket-tapaus opettaa useita asioita:

• Älysopimusten turvallisuus ei riitä, jos etupään riippuvuudet vaarantuvat
• Kolmannen osapuolen riski vaatii jatkuvaa seurantaa, ei vain alkuperäistä due diligenceä
• Useat peräkkäiset tietoturvahäiriöt viittaavat systeemisiin heikkouksiin, eivät yksittäisiin virheisiin

Polymarket-tapaus korostaa myös mainehaittaa, joka seuraa, kun tietoturvahäiriö tapahtuu heti harhaanjohtavan markkinoinnin paljastumisen jälkeen. Käyttäjät voivat kysyä: jos alusta on valmis harhauttamaan yleisöä voittotuloksista, mistä muusta se on valmis valehtelemaan?

Polymarket on sitoutunut korvaamaan kaikki kärsineet käyttäjät, mutta yritys ei ole nimennyt vaarantunutta toimittajaa eikä antanut yksityiskohtia siitä, miten murto estetään tulevaisuudessa . Ilman avoimuutta ja merkittäviä turvallisuusparannuksia käyttäjien luottamuksen palauttaminen on vaikea tehtävä.