Инцидент безопасности Polymarket: утечка ключа и вывод сотен тысяч POL

Именно поэтому адаптер считается критической частью инфраструктуры платформы на сети Polygon.

Как обнаружили атаку

Первый сигнал поступил не от самой платформы, а от независимого ончейн‑исследователя ZachXBT, который отслеживает подозрительную активность в блокчейнах.

Он заметил серию повторяющихся транзакций из адресов, связанных с инфраструктурой адаптера. Каждая операция выводила около 5 000 POL примерно каждые 30 секунд.

Такая регулярность выглядела как автоматизированный скрипт для постепенного опустошения кошелька. После публикации предупреждения информация быстро распространилась в криптосообществе и мониторинговых каналах.

Как злоумышленник перемещал средства

Анализ блокчейн‑данных показал несколько характерных действий атакующего:

• Были опустошены как минимум два адреса, связанные с инфраструктурой адаптера.
• Похищенные токены разделили между несколькими кошельками, что усложняет отслеживание.
• Часть средств была отправлена на криптовалютные сервисы и обменники, вероятно для конвертации или вывода.

Поскольку все транзакции в блокчейне публичны, исследователи могли наблюдать перемещение средств практически в реальном времени.

Почему это не называют взломом смарт‑контракта

В первые часы многие сообщения в крипто‑медиа описывали ситуацию как «эксплойт контракта». Позднее Polymarket уточнил, что логика смарт‑контрактов не была нарушена.

Разница принципиальная:

• Эксплойт смарт‑контракта — злоумышленник использует ошибку в коде и выводит средства.
• Компрометация приватного ключа — атакующий получает право подписи и совершает формально корректные транзакции.

По версии Polymarket, злоумышленник просто использовал украденный ключ, поэтому сеть выполняла операции как легитимные.

Что известно о безопасности пользовательских средств

Компания отдельно подчеркнула, что:

• средства пользователей не пострадали;
• механизм расчёта рынков и основной протокол продолжили работать нормально;
• инцидент был ограничен внутренним операционным кошельком.

Это означает, что торговля и разрешение рынков прогнозов на платформе не были остановлены.

Какие вопросы остаются без ответа

Несмотря на первоначальные объяснения, несколько ключевых аспектов остаются неизвестными:

• Как именно был скомпрометирован приватный ключ. Платформа не раскрыла, произошла ли утечка из инфраструктуры, устройства разработчика или системы хранения ключей.
• Почему у операционного кошелька были достаточно широкие полномочия, позволяющие перемещать значительные средства.
• Почему повторяющиеся выводы продолжались какое‑то время, прежде чем их удалось остановить.
• Какие механизмы управления ключами использовались — например, мультиподписи, аппаратные модули безопасности или ограничения на транзакции.

Без подробного технического пост‑мортема можно лишь предположить, что проблема, вероятно, связана с операционной безопасностью, а не с уязвимостью протокола.

Главный урок для DeFi

Инцидент с Polymarket снова показал типичную проблему индустрии DeFi: даже идеально проверенный смарт‑контракт не защищает систему, если уязвима инфраструктура управления ключами.

Компрометация ключа даёт атакующему полный контроль над кошельком и позволяет выполнять «законные» транзакции — фактически обходя защиту, встроенную в блокчейн‑код.