Polymarket, le principal marché de prédiction blockchain en termes de volume, a subi une perte d'environ 3,1 millions de dollars due à une attaque informatique commencée le 25 juin 2026. Le montant a été révisé à la hausse quelques jours seulement après que la plateforme ait publiquement promis un remboursement intégral aux utilisateurs concernés. Les contrats intelligents qui règlent les paris Polymarket n'ont pas été compromis. L'intrusion s'est produite via le site web, à la suite de la compromission d'un fournisseur tiers chargé du code frontal, permettant à un script malveillant d’être injecté dans la page affichée aux utilisateurs. Onze portefeuilles utilisateurs ont été vidés ; les soldes volés ont été échangés contre le token ETH (environ 1 893 ETH) puis transférés vers des adresses contrôlées par les attaquants.
Le calendrier de l’incident est notable. Il s'agit du deuxième incident de sécurité en environ cinq semaines, et la promesse de remboursement a été suivie par la révélation que la perte était plus importante que prévu. Voici ce qui s'est passé, l'importance de la chronologie, et ce que cela implique en termes de risques de garde sur les marchés de prédiction et les plateformes DeFi.
Détails du piratage de Polymarket
L’attaque a résulté d’une compromission de la chaîne d'approvisionnement (supply chain), et non d’une faille dans les contrats intelligents. Les contrats sur la blockchain fonctionnaient comme prévu. Le point faible était la couche web entre l’utilisateur et ces contrats. Après la compromission du fournisseur tiers, un script malveillant a été injecté. Lorsque les utilisateurs concernés chargeaient le site, le script s’exécutait discrètement dans leur navigateur et les incitait à signer des transactions qu’ils n’avaient pas l’intention d’autoriser. Les signatures semblaient normales et ne déclenchaient pas d’alerte.
La cible était le pUSD, le stablecoin indexé sur le dollar de Polymarket, adossé à l’USDC. Les attaquants, après avoir pris le contrôle des fonds dérobés, ont échangé le pUSD contre de l’Ethereum, transféré les fonds de Polygon vers le réseau principal Ethereum, puis regroupé la totalité dans un portefeuille unique. L’estimation initiale annonçait environ 2,9 millions de dollars de pertes. Quelques jours plus tard, ce montant a été porté à environ 3,1 millions de dollars à mesure que d’autres portefeuilles étaient identifiés. Cette révision à la hausse a compliqué la perception de la promesse de remboursement.
Pour simplifier, le « coffre-fort » n’a jamais été forcé. Quelqu’un a manipulé le clavier de la porte d’entrée pour que, lors de vos opérations habituelles, vous autorisiez à votre insu un retrait vers un tiers. C’est pourquoi un stablecoin stocké dans votre portefeuille a quand même pu le quitter. Les contrats ont tenu bon ; c’est l’interface qui a trompé l’utilisateur.
L’importance du timing après la promesse de remboursement
Polymarket a rapidement communiqué suite à la confirmation de la compromission. L’équipe a supprimé la dépendance compromise, corrigé la vulnérabilité et promis un remboursement intégral en pUSD aux utilisateurs concernés. Cette réponse est adaptée : reconnaître la perte, corriger la faille, compenser les utilisateurs. Le problème vient de la séquence. La promesse de remboursement a été annoncée, puis le montant des pertes est passé de 2,9 à 3,1 millions de dollars, donnant l’impression d’une réaction précipitée.
La confiance sur une plateforme d’échange dépend de l’écart entre la promesse et la réalité. Lorsque les pertes augmentent après un engagement de compensation, les utilisateurs s'interrogent : est-ce le chiffre définitif, ou sera-t-il révisé à nouveau ? Cette incertitude nuit davantage à la réputation que le montant en lui-même, car le doute persiste.
Un second effet mérite d’être noté. Polymarket se présente comme la plateforme pour parier sur des événements réels avec de l’argent réel, tout en garantissant la sécurité des fonds. Une perte directe pour les utilisateurs, peu après une communication rassurante, affaiblit ce message de confiance.
Enchaînement récent de problèmes de sécurité et de conformité chez Polymarket
Ce n'était pas un incident isolé. Le 22 mai 2026, des enquêteurs on-chain ont signalé un autre incident (cité dans CoinDesk), où environ 520 000 à 700 000 dollars ont été dérobés dans des portefeuilles internes utilisés pour les paiements de gains sur Polygon. Cette attaque provenait d’une clé privée apparemment restée active durant six ans. Cette fois-là, les fonds des utilisateurs n’ont pas été affectés, mais deux incidents en moins de deux mois révèlent une tendance préoccupante. L’incident de mai a touché l’infrastructure côté employés ; celui de juin, les utilisateurs. Différentes vulnérabilités, même constat : trop de portes étaient restées entre-ouvertes.
Ces problèmes de sécurité surviennent alors que la plateforme fait l’objet d’un contrôle réglementaire accru. La Commodity Futures Trading Commission (CFTC) a ouvert une enquête sur les pratiques marketing de Polymarket, en particulier une campagne faisant appel à des créateurs rémunérés publiant des vidéos de transactions fictives et de gains exagérés, souvent sans mentionner leur rémunération. Selon des rapports de juin 2026, une grande part des plus de 1 100 vidéos concernées présentaient de fausses opérations. Les sénateurs John Curtis et Adam Schiff ont adressé une lettre à la CFTC pour obtenir des réponses, avec un retour attendu avant le 10 juillet 2026.
Aperçu de la chronologie :
| Date | Événement | Personnes concernées |
|---|---|---|
| 22 mai 2026 | Vidage de portefeuilles internes via une clé privée âgée de six ans | Opérations internes, pas les utilisateurs |
| 20 juin 2026 | Signalements de vidéos promotionnelles trompeuses | Réputation, réglementation |
| 25 juin 2026 | Piratage du front-end, portefeuilles utilisateurs vidés | Utilisateurs |
| 26 juin 2026 | Promesse de remboursement pour les détenteurs de pUSD affectés | Utilisateurs concernés |
| Quelques jours plus tard | Révision des pertes à 3,1 millions de dollars | Utilisateurs concernés |
| 10 juillet 2026 | Réponse de la CFTC attendue sur l’enquête marketing | Plateforme, régulateurs |
À quoi s’attendre pour les utilisateurs concernés ?
Pour les onze portefeuilles vidés, la promesse est un remboursement complet en pUSD. Polymarket a indiqué qu’il rembourserait les porteurs concernés et a supprimé la dépendance compromise. Si vous déteniez du pUSD sans interagir avec le script malveillant durant la période concernée, vos fonds n’ont pas été impactés. L’attaque nécessitait une signature ; seuls les portefeuilles ayant autorisé la transaction ont été touchés.
La récupération des fonds volés est un processus séparé et lent. À ce jour, les 1 893 ETH sont restés sur les adresses contrôlées par les attaquants, ce qui permet aux enquêteurs et aux plateformes d’échange de suivre la trace on-chain. Vous pouvez suivre ce solde agrégé sur Etherscan. Toute chance de gel ou restitution dépendra des mouvements futurs des fonds par les attaquants.
Pour les autres utilisateurs, la leçon porte sur la prudence : considérez chaque demande de signature comme une décision et non une formalité. Lisez soigneusement ce que votre portefeuille vous demande de valider. Les utilisateurs concernés n’ont pas été négligents ; c’est l’interface de confiance qui les a trompés, d’où la portée de l’avertissement.
Risques de garde et de sécurité pour les marchés de prédiction et la DeFi
La réalité de ce piratage est que les contrats intelligents fonctionnaient. La plupart des discussions en crypto se concentrent sur les audits de contrats et les exploits on-chain, mais une part croissante des pertes réelles provient de couches périphériques. Le cas Polymarket illustre cette tendance, similaire à d’autres piratages DeFi et exploits de bridges, où la faille vient de l’interface entre les systèmes.
Quelques principes à retenir :
- Le risque du front-end est un risque de garde réel. Un contrat audité ne protège pas si le site web est compromis. La signature validée déplace les fonds, pas le code du contrat.
- Les dépendances tierces sont une surface d’attaque. Un fournisseur inconnu peut devenir une porte d’entrée.
- La garde à chaud est une commodité échangée contre une exposition. Les fonds dans un portefeuille lié à une application web active ne sont sûrs que dans la mesure où l’application l’est.
- La vigilance sur les signatures est la dernière ligne de défense. Vérifiez l’adresse du contrat, le token, le montant. Les escrocs misent sur le manque de lecture des prompts.
- Une promesse de remboursement n’est pas une récupération des fonds. Le remboursement compense la perte, mais ne garantit pas une révision à la hausse ultérieure.
Cette réalité ne concerne pas que les marchés de prédiction. Ce constat s’applique à toute plateforme où l’on signe des transactions via un site web. Le support ne change pas la mécanique du risque.
Foire aux questions
Polymarket est-il sûr ?
Les contrats intelligents de Polymarket n'ont pas été compromis lors de cet incident, mais la plateforme a subi deux failles majeures en cinq semaines. L’équipe a corrigé la faille et promis un remboursement, mais cette succession justifie de rester vigilant et de vérifier chaque signature.
Que s’est-il passé chez Polymarket ?
Le 25 juin 2026, des attaquants ont compromis un fournisseur tiers du front-end et injecté un script malveillant sur le site, vidant environ 3,1 millions USD de pUSD depuis onze portefeuilles utilisateurs. Les fonds ont été échangés contre environ 1 893 ETH et transférés sur Ethereum sous surveillance.
Polymarket va-t-il rembourser les utilisateurs ?
Polymarket s’est engagé à rembourser intégralement les détenteurs de pUSD touchés et a retiré la dépendance compromise. Le remboursement concerne les onze portefeuilles vidés, mais la récupération des fonds dépendra du gel ou retour des ETH volés.
Comment le piratage a-t-il eu lieu si les contrats n’ont pas été exploités ?
L’attaque a ciblé la couche web ; un fournisseur compromis a permis l’injection d’un script qui a incité les utilisateurs à signer des transactions, permettant la sortie des fonds, même si les contrats de marchés de prédiction ont fonctionné normalement.
Conclusion
Ce piratage Polymarket résulte d’une faille du front-end et de la chaîne d’approvisionnement, coûtant environ 3,1 millions de dollars aux utilisateurs. Le point le plus problématique n’est pas tant le montant que la succession des événements : promesse de remboursement suivie d’une révision des pertes, dans un contexte de précédente faille et d’enquête CFTC. Trois points à surveiller : le chiffre de 3,1 millions va-t-il évoluer, les ETH consolidés seront-ils déplacés, et la prochaine communication de la plateforme signalera-t-elle un nouvel incident. La leçon va au-delà de ce cas : sur toute plateforme où vous signez via un portefeuille, le vrai risque réside dans la couche web et ses dépendances, et la seule défense vraiment maîtrisée est la lecture attentive de chaque approbation. En cas de doute, limitez vos fonds sur toute app web active et renseignez-vous sur l’auto-garde d’actifs comme le Bitcoin.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte un risque important. Faites toujours vos propres recherches avant toute décision.
