Polymarket, крупнейший по объёму блокчейн-предсказательный рынок, 25 июня 2026 года подвергся атаке, приведшей к потере около $3,1 млн средств пользователей. Эта сумма была уточнена вверх всего спустя несколько дней после того, как платформа публично пообещала полностью компенсировать убытки пострадавшим пользователям. Атакующие не взломали смарт-контракты, регулирующие ставки Polymarket. Взлом произошёл через веб-интерфейс: сторонний поставщик кода для фронтенда был скомпрометирован, и вредоносный скрипт внедрён на страницу, которую пользователи видят в браузере. В результате были опустошены одиннадцать пользовательских кошельков, украденные средства переведены из долларового токена Polymarket в примерно 1 893 ETH и перемещены на адреса, контролируемые злоумышленниками.
Вопрос времени здесь ключевой. Это уже второй сбой безопасности за пять недель, причём обещание компенсации появилось почти одновременно с новостями о большем, чем предполагалось, масштабе ущерба. Ниже объясняется, что именно произошло, почему последовательность событий имеет значение и что это говорит о рисках хранения средств на предсказательных и DeFi платформах.
Что произошло в результате взлома Polymarket
Атака представляла собой компрометацию цепочки поставок, а не эксплойт смарт-контракта. Контракты Polymarket на блокчейне функционировали исправно. Слабым звеном оказался веб-уровень между пользователем и этими контрактами. Сторонний поставщик, предоставляющий код для интерфейса сайта, был взломан, и получив доступ, злоумышленник внедрил вредоносный скрипт на веб-страницу. При посещении сайта затронутыми пользователями скрипт незаметно запускался в браузере и подталкивал их к подписанию транзакций кошелька, которые они не собирались подтверждать. Подписи выглядели обычными, поэтому тревожных сигналов не возникало.
Целью был pUSD, долларовый стейблкоин Polymarket, обеспеченный USDC. Получив контроль над средствами, злоумышленник обменял pUSD на Ethereum, перебриджил средства с Polygon на основной эфирный блокчейн и объединил на одном кошельке. Первоначальная оценка убытков составляла около $2,9 млн, но через несколько дней, после уточнения количества затронутых кошельков, сумма возросла примерно до $3,1 млн. Именно поэтому уточнение выглядело неудачно на фоне обещания возврата, сделанного при меньших оценках.
Простыми словами: сам "сейф" взломан не был. Кто-то подменил панель управления так, что при обычных действиях вы фактически одобряли перевод средств постороннему лицу. Поэтому даже стейблкоин с вашего кошелька мог быть выведен. Контракты работали корректно. Интерфейс искажал действительность.
Почему время после обещания возврата имеет значение
Polymarket быстро среагировал: после подтверждения взлома команда заявила об удалении уязвимой зависимости, устранении проблемы и полном возврате средств держателям pUSD, которых затронула атака. Эта реакция сама по себе корректна: признать потери, устранить уязвимость, компенсировать ущерб. Проблема — в последовательности. Обещание возврата прозвучало, а вскоре сумма убытков была увеличена с $2,9 млн до $3,1 млн, что создало ощущение преждевременности в заверениях.
Доверие к платформе строится на соотношении между обещаниями и подтверждённой реальностью. Если компания берёт на себя обязательство покрыть убытки, но сумма ущерба продолжает расти, у пользователей появляются вопросы — не вырастет ли эта цифра ещё больше. Такая неопределённость приносит больше вреда репутации, чем само число в долларах, поскольку средства можно вернуть, а доверие — гораздо сложнее.
Есть и вторичный эффект. Polymarket позиционирует себя как площадка для ставок на реальные события с реальными деньгами, причём ключевой довод — сохранность средств до завершения события. Прямая потеря средств пользователей спустя несколько дней после уверяющего заявления подрывает этот довод.
Последние проблемы Polymarket с безопасностью и регулированием
Это событие не единичное. 22 мая 2026 года блокчейн-аналитики выявили другой инцидент (освещённый в разделе рынков CoinDesk): со служебных кошельков Polymarket для выплат на Polygon было выведено $520 000–700 000. Эта атака была связана с приватным ключом, который оставался активным шесть лет. Тогда средства пользователей не пострадали, команда заверила в безопасности балансов, но два инцидента менее чем за два месяца свидетельствуют о наличии системной проблемы. Майский случай затронул инфраструктуру сотрудников, июньский — пользователей. Разные точки атаки, но вывод один: в системе оказалось слишком много открытых дверей.
Проблемы с безопасностью возникли на фоне повышенного внимания регуляторов. Комиссия по торговле товарными фьючерсами (CFTC) начала расследование маркетинговых практик Polymarket, связанных с рекламной кампанией, в рамках которой оплачивались публикации видеороликов с имитацией торгов и завышенной прибылью без раскрытия факта оплаты. Согласно отчетам за июнь 2026 года, значительная часть более 1 100 таких роликов демонстрировала фиктивные ставки. Сенаторы Джон Кёртис и Адам Шифф направили письмо в CFTC с просьбой разъяснить ситуацию к 10 июля 2026 года.
Вот краткая хронология событий:
| Дата | Событие | Кого затронуло |
|---|---|---|
| 22 мая 2026 | Вывод средств со служебных кошельков через старый приватный ключ | Служебные структуры, не пользователей |
| 20 июня 2026 | Появление информации о вводящих в заблуждение промороликах | Репутационный, регуляторы |
| 25 июня 2026 | Взлом фронтенда, кража средств с пользовательских кошельков | Пользователи |
| 26 июня 2026 | Обещание возврата средств держателям pUSD | Пострадавшие пользователи |
| Несколько дней позже | Пересчёт убытков до $3,1 млн | Пострадавшие пользователи |
| 10 июля 2026 | Срок ответа CFTC на запрос по маркетингу | Платформа, регуляторы |
Чего ожидать пострадавшим пользователям
Для одиннадцати кошельков, с которых были украдены средства, обещано полное возмещение по pUSD. Polymarket сообщил об устранении уязвимости и возмещении держателям, затронутым атакой. Если вы держали pUSD и не взаимодействовали с вредоносным всплывающим окном в период атаки, ваши средства не были затронуты. Для вывода средств требовалась подпись, поэтому кошельки, не одобрявшие транзакции, не пострадали.
Вопрос возврата самих украденных средств остается открытым. По последним данным, консолидированные 1 893 ETH не перемещались с адресов злоумышленников, что позволяет следить за ними в блокчейне. Любое дальнейшее перемещение зависит от того, куда злоумышленник попытается их вывести, и может быть зафиксировано службами комплаенса бирж.
Для всех пользователей главный вывод — внимательность при подтверждении транзакций. Каждый запрос на подпись — это решение, а не формальность. Внимательно читайте, что действительно запрашивает ваш кошелек. Жертвы не проявляли очевидной неосторожности — доверие к веб-интерфейсу оказалось ошибочным, что делает этот урок актуальным для всех платформ.
Уроки безопасного хранения и использования предсказательных рынков и DeFi
Неудобная правда: смарт-контракты работали корректно. В криптовалютной среде внимание часто сосредоточено на аудите контрактов и эксплойтах в блокчейне, но реальный ущерб всё чаще происходит на внешних уровнях. Взлом Polymarket — типичный пример, аналогичный недавним взломам DeFi и мостов, когда слабое звено оказывается на стыке систем.
Основные принципы, актуальные для подобных инцидентов:
- Риск фронтенда — это реальный риск хранения средств. Даже идеально проверенный контракт не защитит, если сайт был скомпрометирован. Перемещение средств инициируется вашей подписью, а не только кодом контракта.
- Сторонние зависимости — точка атаки. Неизвестный вам поставщик скрипта может стать входной точкой.
- Горячее хранение — это всегда компромисс между удобством и риском. Средства в кошельке, взаимодействующем с веб-приложением, защищены ровно настолько, насколько защищена самая слабая зависимость приложения.
- Внимательность к подписи — последняя линия защиты пользователя. Проверяйте адрес контракта, токен и сумму перед подтверждением.
- Обещание компенсации не равно возврату средств. Выплата покрывает убыток, но не устраняет сам инцидент и не гарантирует, что ущерб не будет пересчитан.
Это применимо не только к предсказательным рынкам — любая платформа, где вы подписываете транзакции через сайт, имеет аналогичные риски. Способ размещения ставки не меняет сути угрозы.
Часто задаваемые вопросы
Безопасен ли Polymarket?
Смарт-контракты Polymarket не подвергались взлому, однако за пять недель произошло два серьёзных инцидента: один с внутренними кошельками, второй — с пользовательскими. Команда устранила уязвимость и пообещала компенсации, но повторы говорят о необходимости внимательно подходить к объёмам средств и подтверждению любых действий.
Что произошло с Polymarket?
25 июня 2026 года был взломан сторонний поставщик фронтенд-кода. Вредоносный скрипт на сайте Polymarket позволил вывести около $3,1 млн pUSD с одиннадцати кошельков. Средства были конвертированы примерно в 1 893 ETH и перемещены на адреса злоумышленников.
Будет ли возврат средств пользователям?
Polymarket публично обязался полностью возместить убытки держателям pUSD, пострадавшим в ходе атаки, и сообщил об устранении уязвимости. Возмещение распространяется на одиннадцать кошельков, но возврат самих украденных средств зависит от того, будут ли заморожены или возвращены сконсолидированные ETH.
Как произошёл взлом, если контракты не были скомпрометированы?
Атака была на веб-интерфейс: злоумышленник получил доступ к коду сайта через стороннего поставщика и внедрил скрипт, подталкивающий пользователей к одобрению транзакций на вывод средств. Поэтому даже при корректной работе контрактов средства покинули кошельки.
Выводы
Взлом Polymarket — пример уязвимости фронтенда и цепочки поставок, приведший к потере примерно $3,1 млн пользователями. Наибольший ущерб был нанесён не самой суммой, а последовательностью событий: после обещания возврата последовало увеличение суммы убытков, что, учитывая майский инцидент и открытое расследование CFTC, создало дополнительную неопределённость. Важно следить за тем, изменится ли сумма убытков, будут ли перемещены ETH, и не появится ли третья проблема на платформе. Главный урок: на любой платформе, где вы подписываете транзакции через сайт, риск связан не только с контрактами, но и с безопасностью веб-интерфейса и его зависимостей. Лучший способ защиты — внимательно читать, что вы подтверждаете, и хранить меньшие суммы на сервисах с активным веб-интерфейсом. Освойте самостоятельное хранение, например с помощью Биткоин, прежде чем это станет необходимостью.
Данный материал предоставлен исключительно в информационных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютой связана со значительным риском. Всегда проводите собственное исследование перед принятием решений.
