Community Trust ScoreVérifié
Polymarket a été touché. Une attaque de phishing suspectée sur l’un des fournisseurs tiers de la plateforme a permis aux pirates d’injecter des scripts malveillants directement dans le frontend du marché de prédiction, vidant près de 3 millions de dollars des utilisateurs qui détenaient le stablecoin de la plateforme, le PUSD.
La violation a été révélée par une annonce sur Polymarket Traders X. Selon le post, la dépendance compromise a depuis été retirée et la plateforme affirme qu’elle remboursera intégralement chaque utilisateur affecté. Onze portefeuilles ont été touchés. Le PUSD volé a rapidement été converti en Ethereum et transféré vers une adresse unique — 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD — selon l’analyste en sécurité crypto Specter, qui a suivi le mouvement des fonds en temps réel. Ce genre de conversion rapide est typique de ce type d’attaque : échanger les actifs volés rapidement, les consolider en une adresse unique, et rendre le traçage plus difficile.
Onze portefeuilles. Presque 3 millions de dollars envolés.
Un fournisseur tiers à l’origine des dégâts
Le vecteur d’attaque ici n’était pas les contrats principaux de Polymarket ni son infrastructure backend propre. C’était un fournisseur externe — une dépendance tierce intégrée dans le frontend. Les pirates ont ciblé ce partenaire extérieur, ont pris pied, et de là ont discrètement poussé du code malveillant dans ce que les utilisateurs voient et avec quoi ils interagissent lorsqu’ils ouvrent le site. Les utilisateurs détenant du PUSD dans des portefeuilles connectés n’avaient aucune raison évidente de soupçonner un problème. Les scripts ont fait leur travail avant que la plupart des gens ne sachent même que la violation était en cours.
L’analyse de Specter a indiqué que des tactiques de phishing étaient probablement la méthode utilisée pour compromettre le fournisseur au départ. Une fois à l’intérieur, les attaquants ont agi avec rapidité et coordination. Les fonds volés n’ont pas été immobilisés longtemps — l’échange en ETH s’est fait rapidement, et la consolidation dans cette adresse unique a été propre. Cela suggère un groupe qui savait exactement ce qu’il faisait et avait un plan prêt avant même que le premier script ne soit chargé.
Polymarket a déclaré avoir sollicité des commentaires, mais d’autres détails de la société sont encore en attente. Aucune divulgation supplémentaire n’a encore été faite.
Deuxième violation majeure en deux mois consécutifs
Ce qui rend cela pire, c’est le timing. Le mois dernier — pas il y a six mois, ni il y a un an — Polymarket a fait face à un autre incident de sécurité. Celui-là impliquait une ancienne clé privée compromise et a coûté à la plateforme 700 000 dollars. La société a été claire sur le fait que la violation de la clé privée n’avait pas touché ses contrats ni son infrastructure principale, mais cela ne réconforte guère lorsque l’on fait face à un deuxième incident en autant de mois, celui-ci presque quatre fois plus important.
Deux piratages consécutifs. C’est une période difficile pour n’importe quelle plateforme.
Dans l’ensemble de l’espace crypto, on a observé que les attaques de la chaîne d’approvisionnement tierce deviennent plus courantes et plus dommageables. Le code malveillant injecté via des dépendances externes est difficile à détecter avant qu’il ne cause des dommages — le code semble souvent légitime, arrive par un canal de confiance, et se trouve à l’intérieur du système de quelqu’un d’autre que la plateforme principale ne contrôle pas directement. C’est un point faible connu, et les attaquants ont appris à bien l’exploiter.
Polymarket n’est pas la seule plateforme à avoir fait face à ce type d’exposition. Dans l’industrie, les projets qui dépendent de bibliothèques JavaScript externes, de fournisseurs de widgets ou d’outils d’analyse se sont retrouvés vulnérables à ce type d’attaque indirecte. Le frontend est souvent considéré comme moins risqué que les contrats intelligents ou la gestion des clés privées, mais des incidents comme celui-ci continuent de prouver que cette hypothèse est erronée.
L’engagement de remboursement de Polymarket est important. Pour les onze utilisateurs affectés, récupérer leurs fonds est la priorité immédiate, et le fait que la plateforme agisse rapidement à cet égard adoucit probablement une partie des dommages à sa réputation. Mais les promesses de remboursement ne reconstruisent pas automatiquement la confiance dans la posture de sécurité elle-même, surtout avec un deuxième incident aussi rapproché.
Ce que Polymarket n’a pas encore fait — du moins publiquement — c’est expliquer quels changements elle apporte à la façon dont elle évalue et surveille les fournisseurs tiers à l’avenir. C’est la partie qui intéresse probablement le plus la communauté crypto en ce moment. Le retrait de la dépendance compromise est une étape réactive. Quelle est celle proactive ?
Peu clair. Pas encore de détails à ce sujet.
L’enquête est en cours. Specter et d’autres analystes on-chain suivent toujours le portefeuille à l’adresse 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD. L’ETH volé n’a pas été déplacé vers un échange connu selon les derniers rapports, ce qui signifie que les fonds sont probablement toujours là — ou qu’ils passent par des mixeurs. Quoi qu’il en soit, la récupération semble peu probable sans une action plus large des forces de l’ordre.
Onze portefeuilles. 3 millions de dollars. Et la plateforme attend toujours d’autres commentaires à partager.
Questions Fréquentes
Combien a été volé lors du piratage du frontend de Polymarket ?
Les pirates ont volé près de 3 millions de dollars en PUSD de 11 portefeuilles, convertissant les fonds en Ethereum et les transférant à l’adresse 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD, selon l’analyste en sécurité crypto Specter.
Polymarket remboursera-t-il les utilisateurs affectés par le piratage ?
Oui — Polymarket a annoncé qu’il remboursera intégralement tous les utilisateurs impactés par la violation après avoir retiré la dépendance tierce compromise de son frontend.
