Un piratage de fournisseur tiers chez Polymarket draine 2,9 M$ de 11 portefeuilles utilisateurs

Des pirates ont drainé environ 2,9 millions de dollars d'au moins 11 utilisateurs de Polymarket après qu'un compromis chez un fournisseur tiers a injecté un code malveillant dans le frontend du marché prédictif.

Polymarket a annoncé sur X avoir contenu l'incident et supprimé la dépendance affectée. « Nous contactons les utilisateurs concernés et les remboursons intégralement », a écrit l'entreprise.

L'analyste blockchain Specter a identifié l'attaque, estimant les pertes à 2,94 millions de dollars sur 11 portefeuilles victimes détenant du PUSD, le stablecoin adossé au dollar de Polymarket. Les actifs volés ont été pontés de Polygon vers Ethereum et convertis en environ 1 893 ETH, une technique de blanchiment courante, selon les données on-chain examinées par Specter.

La faille clôt une période difficile pour Polymarket, qui détient plus de 450 millions de dollars en valeur totale verrouillée, en hausse de 301 % par rapport à l'année dernière, selon DefiLlama. L'entreprise a révélé le mois dernier une exploitation distincte de 600 000 $ liée à une clé privée compromise vieille de six ans utilisée pour les opérations internes. Une enquête du Wall Street Journal publiée dimanche a également révélé que Polymarket avait payé des créateurs pour publier des vidéos trompeuses montrant des gains fabriqués.

L'attaque était la 89e faille de sécurité cryptographique signalée au deuxième trimestre, selon les données de DefiLlama, prolongeant le trimestre le plus piraté jamais enregistré en nombre d'incidents. Les pertes dues aux exploits cryptographiques ont atteint 74,9 millions de dollars sur 29 incidents signalés en juin, dépassant le total de 60,5 millions de dollars de mai.

William LeGate, responsable de l'expérience chez Polymarket, a déclaré sur X que l'entreprise rembourse intégralement les utilisateurs concernés et qu'il n'y a aucune perte pour les utilisateurs. La société d'enquête blockchain Bubblemaps a conclu que moins de 15 comptes utilisateurs ont été affectés.

Ces défaillances de sécurité surviennent alors que Polymarket fait face à une pression réglementaire croissante. L'Espagne a bloqué la plateforme en mai en raison de licences de jeux d'argent manquantes, rejoignant la France, la Belgique, la Pologne, l'Italie et l'Inde dans la restriction d'accès. Un ingénieur de Google a été inculpé le mois dernier pour délit d'initié après avoir utilisé des données de recherche internes pour gagner plus d'un million de dollars sur la plateforme.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.