Злом Polymarket на $3 млн: Як зловмисники викрали кошти користувачів і чому фальшиві ставки лише погіршили ситуацію

25 червня 2026 року Polymarket зазнав атаки на ланцюг постачання (supply-chain attack), в результаті якої зловмисники викрали близько $3 мільйонів з рахунків користувачів. Інцидент стався менш ніж за п'ять днів після того, як журналістське розслідування Wall Street Journal викрило, що платформа платила творцям контенту за створення фейкових відео з «великими виграшами». Такий збіг перетворив серйозний збій у безпеці на комплексну кризу довіри, поставивши під сумнів операційну цілісність платформи та її турботу про користувачів.

Як стався злом на $3 мільйони

Хакери зламали невстановленого стороннього постачальника, чий код використовувався для фронтенду сайту Polymarket. Отримавши доступ, вони вбудували шкідливий JavaScript-код у фронтенд, який імітував фішингову атаку на частину користувачів. Важливо, що основні смарт-контракти та блокчейн-інфраструктура не постраждали — порушення торкнулося виключно фронтенду через вразливість у ланцюгу постачання .

Ключові технічні деталі:

• Мета: Шкідливий скрипт був націлений на менш ніж 15 акаунтів. Дані в блокчейні від Bubblemaps вказують на щонайменше 11 спустошених гаманців .
• Викрадений актив: Активом став pUSD (бриджований USDC від Polymarket на мережі Polygon). Зловмисники перевели кошти з Polygon на Ethereum та обміняли їх приблизно на 1 893 ETH .
• Оцінка втрат: Незалежний аналітик безпеки Спектер (Specter) підтвердив втрати на суму $2,94 мільйона. Polymarket та інші джерела округлюють цю суму до $3 мільйонів .

Ця атака є класичним прикладом вразливості криптоплатформ: навіть коли смарт-контракти захищені, залежності від сторонніх постачальників можуть створювати ризики. Користувачі, які взаємодіяли з офіційним сайтом Polymarket, були ошукані та підтвердили шахрайські транзакції, оскільки шкідливий код працював на справжньому домені платформи .

Заходи безпеки, вжиті Polymarket

Негайна реакція Polymarket, оголошена в соцмережі X, включала:

• Локалізацію та видалення скомпрометованої залежності від стороннього постачальника з фронтенду .
• Повне відшкодування всім постраждалим — компанія зобов'язалася повернути кошти .
• Триває розслідування, хоча Polymarket відмовився назвати ім'я зламаного постачальника .

Реакція була швидкою — компанія виявила та підтвердила злом того ж ранку. Однак це вже другий інцидент безпеки для Polymarket менш ніж за два місяці. У середині травня 2026 року стався злом внутрішнього гаманця, що призвів до втрат приблизно на $700 000 після компрометації закритого ключа . Той інцидент безпосередньо не вплинув на кошти користувачів, але вказав на слабкі місця в операційній безпеці Polymarket, які й підтвердила червнева атака.

Скандал з оманливим маркетингом

Лише за кілька днів до злому, 20 червня 2026 року, Wall Street Journal опублікував гучне розслідування, яке викрило, що Polymarket платив творцям контенту в соцмережах за створення відео, які фальшиво демонстрували великі виграші на платформі .

Ключові висновки розслідування WSJ:

• Аналітики переглянули 1 105 відео про Polymarket на різних платформах. 778 з них демонстрували фейкові ставки на сайтах-клонів — жодна з них не використовувала справжню біржу Polymarket .
• У відео сукупно було показано виграші на загальну суму $1,9 мільйона .
• Polymarket надавав творцям інструкційні матеріали про те, як інсценувати ставки .
• 26 червня 2026 року — наступного дня після злому — Національна асоціація адвокатів споживачів подала позов, звинувативши Polymarket в організації шахрайської маркетингової схеми, оплаті прихованої реклами та агресивному націлюванні на студентів коледжів, приховуючи при цьому ймовірність програшу .
• Polymarket відповів, що проводить аудит свого рекламного контенту .

У звіті WSJ зазначалося, що маркетинговий підрядник Virality керував мережею творців і платив їм від $2 000 до $3 000 щомісяця — за умови, що щонайменше 60% їхньої аудиторії була зі США, незважаючи на регуляторну невизначеність щодо ринків прогнозів .

Як ці кризи посилюють одна одну

Послідовні скандали створюють комплексну кризу довіри одразу за кількома напрямками:

Напрямок	Вплив
Довіра до безпеки	Два зломи за два місяці — компрометація внутрішнього гаманця в травні та злом ланцюга постачання на $3 млн у червні — свідчать про неадекватне управління ризиками від сторонніх постачальників
Операційна цілісність	Скандал з фейковими відео показує, що Polymarket добровільно вводив громадськість в оману щодо результатів ставок. Користувачі тепер мають підстави сумніватися, чи є будь-який рекламний контент — або навіть дані про ринок — справжнім
Регуляторні ризики	Позов асоціації адвокатів споживачів у поєднанні зі зломом посилює аргументи на користь регуляторних дій. Polymarket вже перебував під пильним наглядом CFTC і діє в рамках врегулювання з SEC на $1,4 мільярда від 2024 року за роботу незареєстрованої біржі
Довіра користувачів	Платформа, яка одночасно фабрикує виграші та не може захистити свій фронтенд від відомого типу атак (впровадження JS через ланцюг постачання), не викликає довіри щодо зберігання реальних коштів

Час має значення: злом стався через п'ять днів після розслідування WSJ, що миттєво підтвердило побоювання критиків про те, що операційні та етичні стандарти Polymarket є небезпечно низькими. Зараз компанія зіткнулася з одночасною кризою в сфері безпеки, юридичною та репутаційною кризою, і чіткого шляху до відновлення довіри не видно.

Ширші висновки для криптоплатформ

Злом Polymarket через ланцюг постачання — частина ширшої тенденції в криптобезпеці. Атаки, спрямовані на сторонніх постачальників, стають дедалі поширенішими, оскільки вони дозволяють обійти сильний захист блокчейн-інфраструктури. Вектор атаки — впровадження шкідливого JavaScript через скомпрометовану залежність у фронтенді — добре відомий, але його важко запобігти без ретельної перевірки постачальників і контролю цілісності коду .

Для користувачів, які взаємодіють з будь-якою криптоплатформою, інцидент із Polymarket підкреслює кілька уроків:

• Безпека смарт-контрактів недостатня, якщо залежності у фронтенді скомпрометовані.
• Ризик від сторонніх постачальників потребує постійного моніторингу, а не лише початкової перевірки.
• Кілька інцидентів безпеки за короткий час свідчать про системні слабкості, а не про ізольовані збої.

Інцидент із Polymarket також показує, якою є репутаційна шкода, коли збій безпеки стається одразу після викриття оманливого маркетингу. Користувачі можуть запитати: якщо платформа готова обманювати громадськість щодо результатів виграшів, про що ще вона готова обманювати?

Polymarket пообіцяв відшкодувати кошти всім постраждалим користувачам, але компанія не назвала зламаного постачальника та не надала деталей щодо того, як запобігти подібним інцидентам у майбутньому . Без прозорості та змістовних покращень у сфері безпеки відновлення довіри користувачів буде дуже складним завданням.