Le 22 mai, l’enquêteur on-chain ZachXBT a signalé une possible compromission de clé privée ayant vidé environ 600 000 $ d’une adresse Polymarket sur Polygon. L’attaquant a retiré environ 5 000 POL toutes les 20 à 30 secondes avant que l’équipe ne procède à une rotation des clés. Josh Stevens, VP ingénierie chez Polymarket, a ensuite confirmé qu’il s’agissait d’une clé privée interne âgée de six ans, liée à un portefeuille de réapprovisionnement opérationnel, et non des contrats intelligents ni des soldes clients. Cette distinction est importante car elle détermine qui peut être affecté : dans ce cas, le risque concerne les utilisateurs individuels plutôt que l’infrastructure du protocole.
Ce n’est pas une faille du protocole Polymarket, mais une compromission au niveau du compte. Ce schéma reflète le mode de détention des fonds par chaque utilisateur Polygon en auto-garde, ce qui rend cet incident particulièrement instructif.
Analyse de l’alerte ZachXBT et examen des transactions on-chain
ZachXBT a publié sa première alerte publique le 22 mai, pointant le contrat UMA CTF Adapter sur Polygon, utilisé par Polymarket pour régler les marchés avec l’oracle optimiste d’UMA. Les pertes initiales étaient estimées à 520 000 $ en POL et USDC.e, montant qui a dépassé les 600 000 $ en quelques heures suite à des retraits automatisés toutes les 20 à 30 secondes.
Le schéma mécanique est révélateur : un humain ne déplace pas des fonds par lots identiques toutes les 20 secondes sur plusieurs heures, mais un script oui. Ce rythme indique que l’attaquant avait déjà l’autorité de signature, agissant comme si la clé privée avait fuité, plutôt qu’un bug logique dans le contrat.
L’équipe ingénierie de Polymarket a précisé que les contrats étaient intacts et que la compromission concernait uniquement un portefeuille utilisé pour les réapprovisionnements opérationnels. Le rapport de CoinDesk a confirmé que les fonds utilisateurs n’étaient pas touchés. CryptoSlate a ajouté que la clé compromise datait d’environ six ans, antérieure à la plupart des mesures de sécurité actuelles de Polymarket.
ZachXBT est un enquêteur indépendant on-chain et n’appartient ni aux forces de l’ordre ni à Polymarket. Son rôle est d’analyser les transactions en temps réel et d’identifier des activités suspectes avant toute communication officielle. La rapidité d’intervention est précieuse, raison pour laquelle ces incidents restent qualifiés de « suspectés » jusqu’à la confirmation formelle, comme ce fut le cas environ cinq heures après l’alerte initiale.
Fonctionnement de la garde de compte sur Polymarket
Polymarket est souvent perçu comme un marché de prédiction centralisé avec des comptes style exchange. En réalité, il s’agit d’un DEX on-chain avec une interface épurée.
Chaque utilisateur Polymarket détient un compte externe en auto-garde sur Polygon, similaire à une adresse MetaMask. Les dépôts sont des transferts de USDC.e depuis Ethereum ou Polygon vers ce compte. Les paris sont des transactions signées vers le contrat UMA CTF Adapter. Les retraits sont également des transactions signées. L’interface simplifie le processus, mais la clé privée demeure sous la responsabilité de l’utilisateur.
Ainsi, l’incident du 22 mai est structurellement identique à des milliers de drains de comptes individuels sur Polygon chaque mois. Le portefeuille interne Polymarket était un compte EOA détenant du POL et USDC.e. Une fois la clé privée compromise, l’attaquant disposait du même niveau d’accès que Polymarket lui-même. Aucun exploit contractuel n’était nécessaire puisque le contrat respectait les transactions signées.
Cette situation interpelle les utilisateurs : si une clé opérationnelle interne vieille de six ans peut être compromise, chacun doit réévaluer la sécurité de sa propre clé privée.
Conséquences pour les utilisateurs Polymarket à forte valeur
Les plus gros comptes Polymarket sont publics. Plusieurs adresses associées à des positions à sept ou huit chiffres sur les élections US 2024 ont été révélées lors des pics d’activité, et certaines détiennent encore des montants importants. Toute personne ayant accès à des outils d’analyse de la blockchain peut identifier ces comptes en moins d’une heure – les attaquants aussi.
Depuis 2025, les attaques suivent un schéma constant : kits de phishing imitant les emails ou l’interface Polymarket, extensions navigateur malveillantes pour intercepter les signatures, et attaques sur les emails liés aux portefeuilles intégrés. Le vol se fait souvent par une transaction, une signature – les fonds disparaissent avant même que l’utilisateur réalise l’anomalie.
| Type de compte | Modèle de garde | Menace réaliste |
| Position Polymarket via portefeuille intégré | EOA auto-garde, clé gérée par l'application | Phishing, extension malveillante, compromission appareil |
| Position Polymarket via portefeuille externe (MetaMask) | EOA auto-garde, clé gérée par l’utilisateur | Fuite de phrase de récupération, abus d’approbation de signature, faux dApp |
| Portefeuille opérationnel interne Polymarket | EOA géré par l’organisation | Clé obsolète, accès interne, fuite d’infrastructure (cas du 22 mai) |
En résumé, quiconque obtient votre clé privée Polygon accède à vos fonds Polymarket et à tous les autres tokens de l’adresse. Il n’existe pas de service client Polymarket pour annuler une transaction signée, ni d’assurance équivalente à la FDIC sur Polygon. Les contrats ont correctement fonctionné lors de l’incident, ce qui signifie que la plateforme ne peut pas récupérer les fonds en cas d’attaque ciblant une adresse utilisateur.
Contrôles immédiats à effectuer sur votre compte Polymarket
Trois vérifications recommandées dans les dix prochaines minutes :
Vérifiez que l’email lié à votre portefeuille intégré utilise un mot de passe unique et l’authentification à deux facteurs. Un mot de passe réutilisé issu d’une fuite reste la cause principale de compromission sur Polygon.
Passez en revue les approbations de tokens sur votre adresse Polymarket. Utilisez un explorateur Polygon et révoquez toute autorisation inconnue. Les anciennes approbations représentent une surface d’attaque négligée.
Déplacez les montants significatifs vers un portefeuille matériel (Qu’est-ce qu’un portefeuille électronique). Polymarket permet d’utiliser un portefeuille externe, ajoutant une vérification physique par signature et réduisant le risque de compromission à distance.
Pour tout compte supérieur à quelques milliers de dollars, considérez le portefeuille intégré comme « hot wallet » et sécurisez les fonds importants via un portefeuille matériel.
Foire aux questions
L’incident Polymarket du 22 mai était-il un hack de smart contract ?
Non, il s’agissait d’une compromission de clé privée d’un portefeuille opérationnel, et non d’une faille de code ou d’oracle. Les contrats UMA CTF Adapter ont fonctionné comme prévu.
Les fonds des utilisateurs Polymarket sont-ils à risque ?
Les comptes utilisateurs personnels n’ont pas été affectés. Chaque EOA utilisateur reste sécurisé individuellement, ce qui implique une responsabilité personnelle sur la gestion de la clé privée.
Comment les attaquants volent-ils généralement les fonds Polymarket ?
Les principaux vecteurs sont le phishing sur la connexion, les extensions malveillantes et les fuites de phrase de récupération (captures d’écran, sauvegardes cloud, gestionnaire de mots de passe). Les attaques directes de contrats sur comptes personnels sont rares.
La perte de 600 000 $ est-elle définitive ?
La rotation des clés a stoppé le drain, mais sans action des autorités, la récupération des fonds est improbable. Les actifs on-chain envoyés à une adresse en auto-garde ne sont pas récupérables par la plateforme.
Conclusion
Cet incident rappelle que la sécurité dépend principalement de la clé privée, pas du protocole. ZachXBT a signalé la fuite interne, Polymarket a confirmé l’origine (clé opérationnelle obsolète), et les contrats ont exécuté les instructions signées. Ce modèle de risque est valable pour tous les utilisateurs, qui doivent révoquer les approbations inconnues, sécuriser leurs credentials et envisager l’usage d’un portefeuille matériel pour les montants importants. La plateforme a réagi rapidement en changeant la clé compromise ; la gestion côté utilisateur reste cruciale.
Cet article est destiné à l’information uniquement et ne constitue pas un conseil financier ou d’investissement. Le trading de cryptomonnaies comporte des risques importants. Faites toujours vos propres recherches avant de prendre des décisions de trading.
