Polymarket traci 3 mln dolarów w ataku na łańcuch dostaw – hakerzy wykradli środki użytkowników, a skandal z fałszywymi zakładami pogłębia kryzys

25 czerwca 2026 roku platforma Polymarket, służąca do zakładów predykcyjnych (tzw. prediction market), padła ofiarą ataku na łańcuch dostaw, w wyniku którego hakerzy wykradli około 3 milionów dolarów z portfeli użytkowników. Do zdarzenia doszło zaledwie pięć dni po tym, jak śledztwo „Wall Street Journal” ujawniło, że Polymarket płacił twórcom internetowym za nagrywanie filmów przedstawiających fałszywe wygrane zakłady. Zbieg tych dwóch wydarzeń zamienił poważną lukę w zabezpieczeniach w głęboki kryzys wiarygodności, rodząc pytania o bezpieczeństwo operacyjne platformy, zarządzanie zewnętrznymi dostawcami i zaangażowanie w ochronę użytkowników.

Jak doszło do kradzieży 3 mln dolarów?

Atakujacy wykorzystali podatność niezidentyfikowanego zewnętrznego dostawcy (tzw. third-party vendor), z którego usług Polymarket korzystał do obsługi frontendu swojej strony internetowej. Po uzyskaniu dostępu, wstrzyknęli złośliwy kod JavaScript do frontendu Polymarketu, który dla części użytkowników służył jako atak phishingowy. Kluczowe kontrakty smart (smart contracty) i infrastruktura blockchain nie zostały naruszone – wyciek nastąpił wyłącznie na poziomie frontendu, w ramach ataku na łańcuch dostaw .

Najważniejsze szczegóły techniczne:

• Cel: Złośliwy skrypt był wymierzony w mniej niż 15 kont; dane z łańcucha bloków (Bubblemaps) wskazują na co najmniej 11 portfeli, z których wyprowadzono środki .
• Skradziony składnik aktywów: Był nim pUSD (pomostowa wersja USDC na blockchainie Polygon, używana przez Polymarket). Atakujący przenieśli środki z Polygon na Ethereum i wymienili je na około 1 893 ETH .
• Szacunkowa strata: Analityk bezpieczeństwa Specter oszacował potwierdzone straty na 2,94 mln dolarów, podczas gdy Polymarket i wiele źródeł podaje zaokrągloną kwotę ok. 3 mln dolarów .

Atak wykorzystał klasyczną słabość platform kryptowalutowych: nawet jeśli smart kontrakty są bezpieczne, zależności od zewnętrznych dostawców mogą wprowadzać luki. Użytkownicy, którzy wchodzili na legalną stronę Polymarket, zostali nakłonieni do zatwierdzenia oszukańczych transakcji, ponieważ złośliwy kod działał na prawdziwej domenie platformy .

Jakie środki bezpieczeństwa podjął Polymarket?

Natychmiastowa reakcja Polymarketu, ogłoszona na X/Twitter, obejmowała:

• Opanowanie sytuacji i usunięcie skompromitowanej zależności od zewnętrznego dostawcy z frontendu
• Pełny zwrot strat wszystkim poszkodowanym użytkownikom – firma zobowiązała się do pełnego pokrycia strat
• Trwające dochodzenie, choć Polymarket odmówił podania nazwy skompromitowanego dostawcy

Reakcja była szybka – firma wykryła i potwierdziła włamanie tego samego ranka. Był to jednak drugi incydent bezpieczeństwa w ciągu dwóch miesięcy. W połowie maja 2026 r. wewnętrzny atak na portfel (w wyniku naruszenia klucza prywatnego) spowodował straty w wysokości około 700 000 dolarów . Tamten incydent nie dotknął bezpośrednio środków użytkowników, ale sygnalizował słabości w bezpieczeństwie operacyjnym Polymarketu, które czerwcowy atak na łańcuch dostaw potwierdził.

Skandal z fałszywymi materiałami marketingowymi

Zaledwie kilka dni przed atakiem hakerskim, 20 czerwca 2026 r., Wall Street Journal opublikował rewelacyjne śledztwo, z którego wynikało, że Polymarket płacił twórcom mediów społecznościowych za nagrywanie filmów, które fałszywie pokazywały użytkowników wygrywających duże sumy na platformie .

Kluczowe ustalenia śledztwa WSJ:

• Analitycy przejrzeli 1105 filmów na temat Polymarketu na różnych platformach społecznościowych. 778 z nich pokazywało fałszywe zakłady na stronach klonowanych – żaden nie korzystał z prawdziwej giełdy Polymarket .
• Filmy te miały łącznie przedstawiać wygrane w wysokości 1,9 mln dolarów .
• Polymarket dostarczył twórcom materiały instruktażowe dotyczące inscenizacji zakładów .
• 26 czerwca 2026 r. – dzień po ataku hakerskim – National Association of Consumer Advocates (NACA) złożył pozew, oskarżając Polymarket o zorganizowanie oszukańczej kampanii marketingowej, płacenie za ukryte reklamy i agresywne celowanie w studentów, przy jednoczesnym ukrywaniu prawdopodobieństwa strat .
• Polymarket odpowiedział, że przeprowadza audyt swoich treści promocyjnych .

Raport WSJ szczegółowo opisał, jak firma marketingowa Virality zarządzała siecią twórców, płacąc im od 2000 do 3000 dolarów miesięcznie – pod warunkiem, że co najmniej 60% ich odbiorców pochodziło z USA, mimo niepewności regulacyjnej wokół rynków predykcyjnych .

Jak te kryzysy nakładają się na siebie?

Następujące po sobie skandale tworzą narastający kryzys zaufania w kilku wymiarach:

Wymiar	Wpływ
Zaufanie do bezpieczeństwa	Dwa naruszenia w ciągu dwóch miesięcy – wewnętrzny atak na portfel w maju, a następnie czerwcowy atak na łańcuch dostaw za 3 mln dolarów – wskazują na nieodpowiednie zarządzanie ryzykiem ze strony zewnętrznych dostawców
Rzetelność operacyjna	Skandal z fałszywymi filmami pokazuje, że Polymarket dobrowolnie wprowadzał opinię publiczną w błąd co do wyników zakładów. Użytkownicy mają teraz powody, by kwestionować autentyczność wszelkich treści promocyjnych – a nawet danych rynkowych
Ryzyko regulacyjne	Pozew organizacji konsumenckiej w połączeniu z atakiem hakerskim wzmacnia argumenty za działaniami regulacyjnymi. Polymarket był już przedmiotem kontroli CFTC (amerykańskiej Komisji Handlu Kontraktami Terminowymi) i działa na podstawie ugody z SEC (amerykańskiej Komisji Papierów Wartościowych i Giełd) z 2024 r. na kwotę 1,4 mld dolarów za prowadzenie niezarejestrowanej giełdy
Zaufanie użytkowników	Platforma, która zarówno fałszuje wyniki wygranych, jak i nie zabezpiecza swojego frontendu przed dobrze znanym typem ataku (iniekcja JS w łańcuchu dostaw), daje użytkownikom mało powodów, by powierzać jej prawdziwe pieniądze

Kluczowe znaczenie ma tu moment: atak hakerski miał miejsce pięć dni po śledztwie WSJ, co sprawiło, że krytycy, którzy twierdzili, iż standardy operacyjne i etyczne Polymarketu są niebezpiecznie niskie, natychmiast otrzymali potwierdzenie swoich obaw. Firma stoi teraz w obliczu jednoczesnego kryzysu bezpieczeństwa, prawnego i reputacyjnego, bez jasnej ścieżki do odzyskania zaufania użytkowników.

Szersze implikacje dla platform kryptowalutowych

Atak na łańcuch dostaw Polymarketu wpisuje się w szerszy trend w bezpieczeństwie kryptowalut. Ataki na łańcuch dostaw, których celem są zewnętrzni dostawcy, stają się coraz częstsze, ponieważ omijają silne zabezpieczenia infrastruktury blockchain. Wektor ataku – złośliwa iniekcja JavaScript poprzez skompromitowaną zależność frontendu – jest dobrze znany, ale trudny do zapobieżenia bez rygorystycznej weryfikacji dostawców i kontroli integralności kodu .

Dla użytkowników wchodzących w interakcje z jakąkolwiek platformą kryptowalutową incydent z Polymarketem podkreśla kilka lekcji:

• Bezpieczeństwo smart kontraktów to za mało, jeśli zależności frontendu są zagrożone
• Ryzyko ze strony zewnętrznych dostawców wymaga ciągłego monitorowania, a nie tylko wstępnej due diligence
• Kilka incydentów bezpieczeństwa w krótkim czasie sugeruje systemowe słabości, a nie izolowane awarie

Sprawa Polymarketu uwypukla również szkody reputacyjne, jakie następują, gdy awarie bezpieczeństwa mają miejsce natychmiast po ujawnieniu wprowadzających w błąd praktyk marketingowych. Użytkownicy mogą zadać sobie pytanie: jeśli platforma jest gotowa oszukiwać opinię publiczną co do wyników wygranych, co jeszcze jest gotowa ukrywać?

Polymarket zobowiązał się do zwrotu środków wszystkim poszkodowanym, ale firma nie ujawniła, który dostawca został skompromitowany, ani nie podała szczegółów, w jaki sposób zapobiegnie przyszłym incydentom . Bez przejrzystości i znaczących ulepszeń w zakresie bezpieczeństwa, odbudowa zaufania użytkowników będzie niezwykle trudna.