Polymarket nel caos: trafugati 3 milioni di dollari in un hack e scoppia lo scandalo delle scommesse false

L'attacco ha sfruttato una debolezza classica delle piattaforme crypto: anche quando i contratti intelligenti sono sicuri, le dipendenze da terze parti possono introdurre vulnerabilità. Gli utenti che interagivano con il legittimo sito web di Polymarket sono stati indotti ad approvare transazioni fraudolente perché il codice malevolo girava sul dominio ufficiale della piattaforma .

Le misure di sicurezza adottate da Polymarket

La risposta immediata di Polymarket, annunciata su X/Twitter, ha incluso:

• Contenimento e rimozione della dipendenza da terze parti compromessa dal front-end .
• Rimborsi completi a tutti gli utenti colpiti — l'azienda si è impegnata a risarcire integralmente le vittime .
• Un'indagine in corso, anche se Polymarket ha rifiutato di rivelare il nome del fornitore coinvolto .

La reazione è stata rapida — l'azienda ha scoperto e confermato la violazione la stessa mattina in cui è avvenuta. Tuttavia, questo è stato il secondo incidente di sicurezza per Polymarket in meno di due mesi. A metà maggio 2026, un hack al portafoglio interno aveva causato circa 700.000 dollari di perdite dopo la compromissione di una chiave privata . Anche in quel caso i fondi degli utenti non erano stati toccati direttamente, ma l'episodio aveva già messo in luce delle debolezze nella sicurezza operativa di Polymarket, che l'attacco di giugno ha poi confermato.

Lo scandalo del marketing ingannevole

Solo pochi giorni prima dell'hack, il 20 giugno 2026, il Wall Street Journal aveva pubblicato un'inchiesta bomba rivelando che Polymarket pagava i creator di social media per produrre video che mostravano falsamente utenti vincere grosse somme sulla piattaforma .

I risultati chiave dell'indagine del WSJ:

• Gli analisti hanno esaminato 1.105 video su Polymarket pubblicati sui social. 778 di questi mostravano scommesse false su siti clone — nessuno utilizzava il vero scambio Polymarket .
• I video mostravano collettivamente vincite per un totale di 1,9 milioni di dollari .
• Polymarket forniva ai creator materiali didattici su come mettere in scena le scommesse .
• Il 26 giugno 2026 — il giorno dopo l'hack — la National Association of Consumer Advocates ha intentato una causa accusando Polymarket di aver orchestrato un sistema di marketing ingannevole, pagato per pubblicità occulte e preso di mira in modo aggressivo studenti universitari, nascondendo al contempo le probabilità di perdita .
• Polymarket ha risposto dicendo che stava verificando i suoi contenuti promozionali .

Il rapporto del WSJ descriveva in dettaglio come un'agenzia di marketing, Virality, gestisse la rete di creator, pagandoli tra i 2.000 e i 3.000 dollari al mese, con la condizione che almeno il 60% del loro pubblico fosse negli Stati Uniti, nonostante l'incertezza normativa sui mercati predittivi .

Come queste crisi si alimentano a vicenda

Gli scandali consecutivi creano una crisi di fiducia che si auto-alimenta su diversi fronti:

La tempistica è cruciale: l'hack è avvenuto cinque giorni dopo l'inchiesta del WSJ, e il fallimento di sicurezza ha immediatamente dato ragione ai critici che sostenevano che gli standard operativi ed etici di Polymarket fossero pericolosamente lassi. L'azienda si trova ora ad affrontare una crisi di sicurezza, legale e reputazionale simultanea, senza una chiara via d'uscita per riconquistare la fiducia degli utenti.

Implicazioni più ampie per le piattaforme crypto

L'hack di Polymarket fa parte di un modello più ampio nella sicurezza delle criptovalute. Gli attacchi alla supply chain che prendono di mira fornitori terzi sono sempre più comuni perché aggirano la robusta sicurezza dell'infrastruttura blockchain. Il vettore d'attacco — iniezione di JavaScript malevolo tramite una dipendenza del front-end compromessa — è ben noto ma difficile da prevenire senza una rigorosa verifica dei fornitori e controlli sull'integrità del codice .

Per gli utenti che interagiscono con qualsiasi piattaforma crypto, l'incidente Polymarket sottolinea diverse lezioni:

• La sicurezza dei contratti intelligenti non basta se le dipendenze del front-end sono compromesse
• Il rischio legato ai fornitori terzi richiede un monitoraggio continuo, non solo una due diligence iniziale
• Più incidenti di sicurezza ravvicinati suggeriscono debolezze sistemiche, non fallimenti isolati

Il caso Polymarket evidenzia anche il danno reputazionale che segue quando un fallimento di sicurezza avviene immediatamente dopo l'esposizione di pratiche di marketing ingannevoli. Gli utenti potrebbero chiedersi: se una piattaforma è disposta a ingannare il pubblico sugli esiti delle vincite, su cos'altro è disposta a mentire?

Polymarket si è impegnata a rimborsare tutti gli utenti colpiti, ma non ha nominato il fornitore compromesso né fornito dettagli su come la violazione verrà prevenuta in futuro . Senza trasparenza e miglioramenti di sicurezza concreti, riconquistare la fiducia degli utenti sarà un'impresa molto ardua.