Polymarket hackat: 3 miljoner dollar stulna i leverantörsattack – och en fejkad vinstskandal gjorde saken värre

Tekniska detaljer:

• Måltavla: Den skadliga koden riktade sig mot färre än 15 konton; Bubblemaps kedjedata visar att minst 11 plånböcker tömdes .
• Stulna tillgångar: Det stulna var pUSD (Polymarkets bryggade USDC på Polygon). Hackarna bryggde medlen från Polygon till Ethereum och växlade dem till cirka 1 893 ETH .
• Förlustberäkning: Oberoende säkerhetsanalytikern Specter satte den bekräftade förlusten till 2,94 miljoner dollar, medan Polymarket och flera källor avrundar till cirka 3 miljoner dollar .

Attacken utnyttjade en klassisk svaghet i kryptoplattformar: även om blockkedjans smarta kontrakt är säkra, kan tredjepartsberoenden introducera sårbarheter. Användare som interagerade med den legitima Polymarket-webbplatsen lurades att godkänna bedrägliga transaktioner eftersom den skadliga koden kördes på den äkta plattformsdomänen .

Vilka säkerhetsåtgärder tog Polymarket?

Polymarkets omedelbara åtgärder, som tillkännagavs på X/Twitter, inkluderade:

• Inneslutning och borttagning av den komprometterade tredjepartskomponenten från frontenden
• Full återbetalning till alla drabbade användare – företaget åtog sig att göra de drabbade hela
• En pågående utredning, men Polymarket vägrade att namnge den inblandade leverantören

Åtgärderna var snabba – företaget upptäckte och bekräftade attacken samma morgon den inträffade. Men detta var Polymarkets andra säkerhetsincident på mindre än två månader. I mitten av maj 2026 inträffade ett internt plånbokshack som resulterade i förluster på cirka 700 000 dollar efter en komprometterad privat nyckel . Den tidigare incidenten påverkade inte användarnas medel direkt, men den visade på svagheter i Polymarkets operativa säkerhet som junis supply chain-attack bekräftade.

Den vilseledande marknadsföringsskandalen

Bara dagar före hacket, den 20 juni 2026, publicerade Wall Street Journal en avslöjande granskning som visade att Polymarket betalat kreatörer på sociala medier för att producera videor som fejkade användares stora vinster på plattformen .

Viktiga resultat från WSJ:s granskning:

• Analytiker granskade 1 105 videor om Polymarket på sociala plattformar. 778 av dem visade fejkade spel på klonsajter – ingen använde den riktiga Polymarket-börsen .
• Videorna påstods sammanlagt visa vinster på 1,9 miljoner dollar .
• Polymarket försåg kreatörer med instruktionsmaterial om hur de skulle iscensätta spelen .
• Den 26 juni 2026 – dagen efter hacket – lämnade National Association of Consumer Advocates in en stämningsansökan där de anklagade Polymarket för att ha organiserat ett vilseledande marknadsföringsupplägg, betalat för dolda annonser och aggressivt riktat sig mot högskolestudenter samtidigt som man dolde förlustsannolikheter .
• Polymarket svarade med att säga att de granskar sitt reklaminnehåll .

WSJ-rapporten detaljerade hur en marknadsföringsbyrå, Virality, hanterade kreatörsnätverket och betalade kreatörer mellan 2 000 och 3 000 dollar i månaden – med utbetalningar villkorade av att minst 60 % av deras publik var baserad i USA, trots regulatorisk osäkerhet kring prediktionsmarknader .

Hur dessa kriser förstärker varandra

De två skandalerna i rad skapar en förtroendekris som förstärks på flera plan:

Tajmingen är avgörande: hacket inträffade fem dagar efter WSJ-granskningen, vilket innebär att säkerhetsmisslyckandet omedelbart bekräftade kritikernas påstående att Polymarkets operativa och etiska standard var farligt låg. Företaget står nu inför en samtidig säkerhets-, juridisk- och rykteskris utan någon tydlig väg tillbaka till användarnas förtroende.

Bredare implikationer för kryptoplattformar

Polymarkets supply chain-attack är en del av ett bredare mönster inom kryptosäkerhet. Supply chain-attacker som riktar sig mot tredjepartsleverantörer blir allt vanligare eftersom de kringgår den starka säkerheten i blockkedjeinfrastrukturen. Attackvektorn – skadlig JavaScript-injektion via en komprometterad frontend-komponent – är välkänd men svår att förhindra utan rigorös leverantörsgranskning och kontroll av kodintegritet .

För användare som interagerar med kryptoplattformar belyser Polymarket-incidenten flera lärdomar:

• Smarta kontrakts säkerhet räcker inte om frontend-beroenden äventyras
• Tredjepartsleverantörsrisk kräver kontinuerlig övervakning, inte bara inledande due diligence
• Flera säkerhetsincidenter i snabb följd tyder på systemiska svagheter, inte isolerade misslyckanden

Polymarket har åtagit sig att återbetala alla drabbade användare, men företaget har inte namngett den komprometterade leverantören eller gett detaljer om hur framtida incidenter ska förhindras . Utan transparens och meningsfulla säkerhetsförbättringar blir återuppbyggnaden av användarnas förtroende en brant uppförsbacke.