22 мая независимый ончейн-аналитик ZachXBT сообщил о подозрительной компрометации приватного ключа, в результате которой с адреса Polymarket в сети Polygon было выведено около $600 000. Атакующий выводил примерно 5 000 POL каждые 20–30 секунд до смены ключей. Вице-президент по инженерным вопросам Polymarket Джош Стивенс позже подтвердил, что скомпрометированный ключ принадлежал шестилетнему внутреннему кошельку для пополнения, а не смарт-контрактам платформы или пользовательским средствам. Это важно, так как тип события влияет на круг риска — в данной ситуации потенциальный риск смещён в сторону индивидуальных пользователей, а не команд протокола.
Это не эксплойт протокола Polymarket, а компрометация приватного ключа на уровне аккаунта, что аналогично способу хранения средств любым пользователем с самокастодиальным кошельком в сети Polygon. Именно поэтому данное происшествие заслуживает особого внимания.
Что выявил ZachXBT и что показывает анализ ончейн-данных
Первое публичное предупреждение 22 мая касалось контракта UMA CTF Adapter в сети Polygon, используемого Polymarket для расчёта рынков с помощью оракула UMA. Первоначально потери оценивались в $520 000 (POL и USDC.e), но в течение нескольких часов сумма превысила $600 000 — автоматические выводы проходили с интервалом 20–30 секунд.
Механический характер вывода — важная деталь. Человек вряд ли будет отправлять средства идентичными партиями каждые 20 секунд в течение нескольких часов. Это действие автоматизированного скрипта, что говорит о наличии у атакующего полномочий на подпись, а значит — о компрометации приватного ключа, а не о баге в самом контракте.
Команда Polymarket отреагировала в течение нескольких часов, подтвердив, что смарт-контракты не были затронуты, а компрометирован только внутренний кошелёк для операционных пополнений. По сообщению CoinDesk, пользовательские средства не пострадали. CryptoSlate уточнил, что утёкший ключ использовался около шести лет, что превышает срок существования большинства современных средств безопасности Polymarket.
ZachXBT — независимый ончейн-исследователь, не являющийся сотрудником правоохранительных органов или Polymarket. Его задача — анализировать паттерны транзакций в реальном времени и отмечать подозрительные действия до официального заявления платформы. Такая оперативность — его ценность. По этой причине расследования такого рода помечаются как "подозрение" до официального подтверждения причин, что и произошло примерно через пять часов после первого предупреждения.
Как работает кастодиальная модель аккаунта Polymarket
Многие воспринимают Polymarket как централизованный сервис с аккаунтами биржевого типа, но по факту это ближе к ончейн-DEX c удобным интерфейсом.
У каждого пользователя Polymarket есть собственный экстернально управляемый аккаунт (EOA) в сети Polygon (аналогично кошельку MetaMask). Депозит — это перевод USDC.e с адреса Ethereum или Polygon на этот EOA. Ставки — это подписанные транзакции в контракт UMA CTF Adapter. Вывод — подписанная транзакция обратно. Интерфейс Polymarket автоматизирует процесс подписи через встроенный кошелек, но управление аккаунтом и приватным ключом остаётся за пользователем.
Таким образом, инцидент 22 мая структурно идентичен тысячам менее заметных утечек приватных ключей в сети Polygon каждый месяц. Внутренний кошелёк Polymarket также был EOA, на котором хранились операционные POL и USDC.e. При утечке ключа атакующий получает те же права, что и сама организация Polymarket. Контракт не был взломан — он действовал в строгом соответствии с логикой: выполнять подписанные транзакции от владельца средств.
Для пользователей это значит, что все средства на Polymarket хранятся на аналогичных аккаунтах, подписываемых такими же ключами. Если внутренний ключ организации, использовавшийся шесть лет, оказался уязвим, каждому пользователю важно пересмотреть свой подход к безопасности ключей.
Самостоятельная кастодиальная ответственность для крупных пользователей Polymarket
Крупные счета Polymarket публичны. Адреса, связанные с семизначными и восьмизначными позициями по выборам в США 2024 года, были раскрыты во время пиковых объёмов и до сих пор содержат значимые балансы. Список крупных EOA-адресов несложно составить с помощью базового анализа блокчейна — и у атакующих есть такой же список.
С 2025 по 2026 год схема атак стабильно повторяется: фишинговые сайты имитируют интерфейс и письма Polymarket, вредоносные расширения перехватывают запросы на подпись, подбор паролей по email, связанному с встроенным кошельком, продолжает приводить к новым случаям каждую неделю. Сам вывод — обычно одна транзакция, одна подпись — средства исчезают до того, как пользователь замечает это.
| Тип аккаунта | Модель хранения | Реалистичная угроза |
|---|---|---|
| Позиция Polymarket через встроенный кошелёк | Самокастодиальный EOA, ключ хранится приложением | Фишинг, вредоносные расширения, компрометация устройства |
| Позиция Polymarket через внешний кошелёк (MetaMask) | Самокастодиальный EOA, ключ хранится у пользователя | Утечка seed-фразы, злоупотребление разрешениями, фейковые dApp-запросы |
| Внутренний операционный кошелёк Polymarket | Организационный EOA | Устаревший ключ, инсайдерский доступ, утечка инфраструктуры (случай 22 мая) |
Если атакующий получает приватный ключ Polygon, он получает доступ к вашей позиции Polymarket, балансу USDC.e и другим токенам на этом адресе. Невозможно отменить подписанную транзакцию через саппорт Polymarket. В сети Polygon нет аналога страхования FDIC. Смарт-контракты платформы действовали корректно в инциденте 22 мая, что означает — и для пользователя не предусмотрена защита от злоумышленника, действующего "корректно" и легитимно с точки зрения блокчейна.
Что стоит проверить в вашем аккаунте Polymarket прямо сейчас
Рекомендуется выполнить три проверки в ближайшие десять минут независимо от суммы:
Убедитесь, что email, привязанный к встроенному кошельку, использует уникальные данные и защищён 2FA. Самая частая причина компрометаций в сети Polygon — повторное использование паролей из старых утечек. Перед следующими действиями пройдите полный 13-пунктный чек-лист по безопасности (см. выше).
Проверьте разрешения токенов на вашем адресе Polymarket. Войдите в обозреватель Polygon и проверьте список разрешённых контрактов, удалите разрешения, которые не узнаёте. Старые разрешения от забытых dApp — потенциальная точка атаки.
Переведите значимые суммы на кошелёк с аппаратной подписью. Polymarket поддерживает работу с внешними кошельками (например, аппаратными), пусть это и менее удобно. Аппаратный кошелёк требует физического подтверждения каждой подписи, что защищает от дистанционных атак — как в случае внутреннего кошелька Polymarket.
Если на счету больше нескольких тысяч долларов, используйте встроенный кошелёк только как "горячий" для небольших сумм, а крупные перемещайте через аппаратный. Такой подход рекомендуется для любых DeFi или спотовых позиций — и для позиций на рынках прогнозов он также актуален.
Часто задаваемые вопросы
Является ли инцидент 22 мая взломом смарт-контракта?
Нет, и это важно для оценки рисков. Polymarket и ZachXBT подтвердили, что контракт UMA CTF Adapter работал штатно, а компрометация затронула только внутренний кошелёк, а не код контракта или логику оракула.
Под угрозой ли сейчас средства пользователей Polymarket?
Средства пользователей на личных аккаунтах Polymarket не пострадали 22 мая. Скомпрометирован был внутренний адрес. Каждый EOA пользователя защищается отдельно, но это также означает индивидуальную ответственность за приватный ключ.
Какие основные сценарии атак на Polymarket?
Наиболее распространены фишинговые страницы, маскирующиеся под вход на Polymarket, вредоносные расширения для браузера, а также утечки seed-фраз через скриншоты, облачные бэкапы и взломы менеджеров паролей. Прямые атаки на смарт-контракты пользователей крайне редки.
Можно ли вернуть украденные $600 000?
Polymarket сменил ключи в течение нескольких часов, слив средств прекратился. Без действий правоохранительных органов возврат POL и USDC.e маловероятен — платформа не может вернуть активы, отправленные на самокастодиальный адрес.
Итоги
Инцидент Polymarket наглядно показывает: основная уязвимость любой позиции в сети Polygon — приватный ключ, не протокол. ZachXBT зафиксировал вывод $600 000 с внутреннего кошелька, Polymarket подтвердил причину — устаревший ключ, а злоумышленник воспользовался тем, что смарт-контракт исполнил корректную транзакцию. Такой же риск присутствует у каждого пользователя, поэтому сейчас — подходящий момент для ревизии разрешений, смены паролей и перевода средств на аппаратный кошелёк. Платформа выполнила свою часть, оперативно сменив ключи. Ответственность пользователя за защиту своих средств — остаётся.
Этот материал представлен исключительно в ознакомительных целях и не является финансовой или инвестиционной рекомендацией. Торговля криптовалютами связана с существенными рисками. Проведите самостоятельный анализ перед принятием инвестиционных решений.
