Атака на Polymarket: как хакеры украли $3 млн через стороннего подрядчика и почему скандал с фальшивыми выигрышами только усугубил кризис

Атака использовала классическую уязвимость криптоплатформ: даже при безопасных блокчейн-смарт-контрактах зависимость от сторонних компонентов может привести к появлению уязвимостей. Пользователи, взаимодействовавшие с легитимным сайтом Polymarket, были обмануты и одобрили мошеннические транзакции, поскольку вредоносный код выполнялся на реальном домене платформы .

Меры безопасности, предпринятые Polymarket

Немедленная реакция Polymarket, о которой было объявлено в соцсети X/Twitter, включала:

• Локализацию и удаление скомпрометированного стороннего компонента из фронтенда
• Полное возмещение ущерба всем пострадавшим пользователям
• Проведение расследования, хотя Polymarket отказалась назвать скомпрометированного подрядчика

Реакция была быстрой — компания обнаружила и подтвердила взлом тем же утром. Однако это был второй инцидент безопасности на Polymarket менее чем за два месяца. В середине мая 2026 года из-за компрометации закрытого ключа был взломан внутренний кошелёк, что привело к потерям примерно в $700,000 . Тот инцидент не затронул средства пользователей напрямую, но указал на слабости в операционной безопасности Polymarket, которые июньская атака на цепочку поставок подтвердила.

Скандал с обманным маркетингом

Всего за несколько дней до взлома, 20 июня 2026 года, The Wall Street Journal опубликовал сенсационное расследование, в котором утверждалось, что Polymarket платил создателям контента в соцсетях за производство видео, где они якобы выигрывали крупные суммы на платформе .

Основные выводы расследования WSJ:

• Аналитики изучили 1,105 видео о Polymarket в социальных сетях. 778 из них показывали фальшивые ставки на поддельных сайтах-клонах — ни одно не использовало реальную биржу Polymarket .
• В этих видео в общей сложности якобы были показаны выигрыши на сумму $1.9 млн .
• Polymarket предоставлял создателям инструкции по тому, как инсценировать ставки .
• 26 июня 2026 года — на следующий день после взлома — Национальная ассоциация защиты прав потребителей (National Association of Consumer Advocates) подала иск, обвинив Polymarket в организации обманной маркетинговой схемы, оплате скрытой рекламы и агрессивном привлечении студентов колледжей при сокрытии вероятностей проигрыша .
• Polymarket ответил, что проводит аудит своего рекламного контента .

В отчёте WSJ также упоминалось, что маркетинговый подрядчик Virality управлял сетью создателей и платил им от $2,000 до $3,000 в месяц. Выплаты были обусловлены тем, что не менее 60% их аудитории находилось в США, несмотря на неопределённость регулирования рынков прогнозов .

Как эти кризисы усугубляют друг друга

Последовательность скандалов создаёт нарастающий кризис доверия по нескольким направлениям:

Время имеет значение: взлом произошёл через пять дней после публикации расследования WSJ, поэтому сбой в безопасности немедленно подтвердил опасения критиков, утверждавших, что операционные и этические стандарты Polymarket опасно низки. Компания теперь столкнулась с одновременным кризисом безопасности, юридическим и репутационным кризисом, не имея чёткого пути к восстановлению доверия пользователей.

Более широкие последствия для криптоплатформ

Атака на цепочку поставок Polymarket является частью более широкой тенденции в сфере кибербезопасности криптовалют. Атаки на цепочку поставок, нацеленные на сторонних подрядчиков, становятся всё более распространёнными, поскольку они обходят надёжную защиту блокчейн-инфраструктуры. Вектор атаки — внедрение вредоносного JavaScript через скомпрометированную зависимость фронтенда — хорошо известен, но его трудно предотвратить без тщательной проверки поставщиков и контроля целостности кода .

Для пользователей, взаимодействующих с любыми криптоплатформами, инцидент с Polymarket подчёркивает несколько уроков:

• Безопасности смарт-контрактов недостаточно, если скомпрометированы зависимости фронтенда
• Риски от сторонних подрядчиков требуют постоянного мониторинга, а не только предварительной проверки
• Несколько инцидентов безопасности за короткий промежуток времени указывают на системные слабости, а не на изолированные сбои

Polymarket обязался возместить ущерб всем пострадавшим пользователям, но компания не назвала скомпрометированного подрядчика и не предоставила подробностей о том, как предотвратить подобные инциденты в будущем . Без прозрачности и значительных улучшений в области безопасности восстановление доверия пользователей будет крайне сложной задачей.