Хакеры опустошили криптокошельки клиентов Polymarket через взломанного подрядчика

Криптовалютная платформа прогнозов Polymarket подверглась атаке через скомпрометированного стороннего поставщика, в результате чего злоумышленники внедрили вредоносный скрипт в веб-интерфейс сервиса и вывели средства части пользователей. Независимые аналитики оценивают суммарный ущерб примерно в три млн долларов. Компания признала факт взлома и пообещала вернуть пострадавшим клиентам украденные активы в полном объёме.

Утром в четверг служба безопасности Polymarket зафиксировала постороннее вмешательство в один из внешних компонентов инфраструктуры. Через эту зависимость в интерфейс сайта попал вредоносный код, который сработал у части посетителей и позволил атакующим добраться до их кошельков. После выявления проблемы команда платформы оперативно отключила скомпрометированный модуль и приступила к прямому контакту с владельцами пострадавших аккаунтов.

Точную цифру потерь компания публично не назвала. Первые расчёты пришли со стороны независимых исследователей блокчейна, которые отслеживали движение средств уже через несколько часов после атаки. Один из специализированных аккаунтов в X сообщил, что общий ущерб приближается к трём млн долларов.

Чуть позже более подробные данные опубликовал блокчейн-аналитик под ником @SpecterAnalyst. По его подсчётам, потери составили порядка 2,94 млн долларов, а число пострадавших — не менее 11 кошельков.

Атака развивалась по следующей схеме:

• через сторонний сервис, подключённый к Polymarket, в страницу был внедрён посторонний скрипт;
• вредоносный код срабатывал у части посетителей и перехватывал управление операциями в кошельке;
• из учётных записей жертв выводились стейблкоины PUSD, используемые внутри экосистемы платформы;
• похищенные стейблкоины тут же конвертировались в Ethereum;
• полученные активы дробились и расходились по цепочке кошельков для запутывания следов.

Стоит обратить внимание, что атакующие не пробивали саму инфраструктуру Polymarket — точкой входа стал внешний подрядчик, чьи модули подгружались на страницы сервиса.

Глава отдела по работе с клиентами Polymarket Уильям ЛеГейт первым публично отреагировал на оценки независимых наблюдателей. Он заявил, что проблема устранена, а все потерянные средства будут возвращены пострадавшим в полном объёме. Прямого подтверждения размера ущерба со стороны компании не прозвучало, однако сам формат ответов руководства на твиты с конкретными цифрами участники крипторынка восприняли как косвенное согласие с оценкой в несколько миллионов долларов.

Дополнительный комментарий ЛеГейт дал после публикации второго аналитического разбора, где фигурировала сумма 2,94 млн долларов. Авторы исследования также выложили адреса кошельков, через которые проходили украденные активы — это упрощает задачу криптобиржам и аналитическим сервисам, если средства попытаются обналичить.

Интересно, что почти весь украденный объём был выведен в одной валюте — внутреннем стейблкоине PUSD, что говорит о точечной подготовке атаки именно под экосистему Polymarket, а не под универсальный кошелёк пользователя.

Реакция самой платформы пока сводится к трём шагам:

• публичное признание факта компрометации через корпоративный аккаунт в X;
• отключение скомпрометированной внешней зависимости от веб-интерфейса;
• индивидуальная связь с владельцами затронутых кошельков и возврат украденных сумм.

Произошедшее наглядно показало уязвимость цепочки поставок в Web3-сервисах. Собственный код Polymarket остался нетронутым, но достаточно было компрометации одного партнёрского модуля, чтобы атакующие получили возможность работать прямо в браузерах пользователей. Это типичная схема supply chain-атаки, которая в последние годы всё чаще применяется против криптопроектов и финансовых сервисов.

Среди факторов, повышающих риск подобных инцидентов, специалисты выделяют:

• подключение в продакшен-интерфейс внешних JS-библиотек и аналитических модулей без жёсткой фиксации версий;
• отсутствие механизмов Subresource Integrity для сторонних скриптов;
• слабая изоляция компонентов кошелька от остального DOM-дерева;
• задержки в мониторинге трафика клиентских устройств, а не только серверной части.

Репутационный удар по Polymarket усилен ещё и совпадением по времени. За несколько дней до инцидента компания запустила громкую промо-кампанию с участием музыкального продюсера Рика Рубина. Ролик получил тёплые отклики у части технологических и финансовых публичных фигур, в том числе у ведущего CNBC Эндрю Росса Соркина. На этой волне новость о взломе и выводе миллионов долларов из кошельков клиентов разошлась по криптосообществу заметно быстрее обычного.

Возврат средств руководство Polymarket пообещало провести в полном объёме и без условий — пользователю не нужно самостоятельно доказывать факт потери, компания сама выходит на владельцев затронутых кошельков. Тем, кто работает с платформой, аналитики советуют:

• сменить пароли и ключи доступа к связанным сервисам;
• отозвать ранее выданные разрешения смарт-контрактам через инструменты вроде revoke.cash;
• проверить историю транзакций за последние сутки и сверить её с собственными действиями;
• по возможности развести средства между несколькими кошельками, не держа всю позицию в одном адресе.

Ранее сообщалось, что платформа Poly Network стала жертвой одного из крупнейших взломов в истории DeFi, потеряв цифровые активы на сумму около 613 млн долларов. Необычность инцидента заключалась в том, что после атаки сами злоумышленники начали возвращать похищенные средства. К моменту официального заявления компании было возвращено около 260 млн долларов, тогда как ещё примерно 353 млн долларов оставались под контролем хакеров. Этот случай стал одним из самых обсуждаемых событий в истории криптовалютного рынка.

Эксперты редакции CISOCLUB уверены, что инцидент с Polymarket — это не разовый сбой, а закономерное продолжение тенденции по атакам на цепочку поставок в Web3. Защита собственного периметра больше не равна защите пользователя, если в интерфейс подгружается чужой код без жёсткого контроля целостности. Криптоплатформы обязаны переходить к модели, где каждый внешний модуль рассматривается как потенциально враждебный, с фиксированными хэшами, изоляцией кошелькового слоя и постоянным мониторингом клиентской части. Готовность Polymarket возместить ущерб из собственных средств — правильный, но запоздалый шаг, который не отменяет необходимости пересмотра подхода к сторонним зависимостям. Без системных изменений подобные атаки будут повторяться у других платформ с похожей архитектурой.