arrow back

Хакери вкрали $3,1 млн у користувачів Polymarket

28 черв 2026

Хакери вкрали $3,1 млн у користувачів Polymarket через фішинг у Polygon. Дізнайтесь, як це сталося і що робити трейдерам.

Хакери вкрали близько $3,1 млн у користувачів Polymarket під час фішингової атаки в мережі Polygon, а платформа пообіцяла повне відшкодування. Найбільше це зачепило трейдерів, які тримали PUSD і підписували запити через інтерфейс сервісу.

Інцидент став відомий 27 червня 2026 року завдяки даним AMLBot. За їхньою оцінкою, зловмисники використали шкідливий механізм делегованого виконання EIP-7702, перевели PUSD у USDC.e через Relay, вивели активи з Polygon в Ethereum, а далі обміняли їх на ETH. У підсумку на нових адресах опинилося близько 1 891,9 ETH, а найбільший із них контролює приблизно 1 788,5 ETH. За курсом ETH $1 570,36 це майже $2,97 млн і $2,81 млн відповідно.

За даними BleepingComputer, атаку прив’язують до 25 червня 2026 року, а бекенд і сервери Polymarket не були скомпрометовані. Проблема прийшла через сторонній вендор і шкідливий скрипт у вебінтерфейсі. Це важлива деталь, бо для користувача все виглядало як звичайний сайт, а ризик ішов не від самої мережі, а від ланцюжка постачання.

Чому ця атака вдарила саме по користувачах Polymarket?

Тут усе впирається в довіру до інтерфейсу. Людина відкриває сайт, бачить знайомі кнопки, підписує запит, і саме в цей момент шкідливий код підсовує не той approval. Простими словами, зловмисник не ламав блокчейн, він підмінив те, що бачить користувач.

Polymarket прямо заявила, що причина інциденту, за її даними, у зламі стороннього постачальника. Компанія сказала, що локалізувала проблему, видалила скомпрометовану залежність і почала зв’язуватися з постраждалими. Вона також пообіцяла повністю компенсувати втрати. Це вже не перший удар по репутації платформи, і на тлі цього нагадуємо про нещодавню історію з втратою до $15 млн у MEV-бота Ethereum, де теж видно, як швидко кошти можуть змінити адресу.

Реакція ринку

AMLBot першими описали схему з PUSD, USDC.e, Ethereum і консолідацією на трьох нових адресах. PeckShield теж підтвердили масштабну фішингову кампанію. Вони оцінили втрати приблизно в $3 млн і сказали, що зловмисник перевів кошти з Polygon в Ethereum та обміняв їх на близько 1 893 ETH.

«Похоже, что фишинговая кампания нацелена на пользователей Polymarket, у яких украли около $3 млн в PUSD. Злоумышленник перевел средства из Polygon в Ethereum и обменял их примерно на 1893 ETH», — зазначили в PeckShield.

Є ще один важливий штрих. За оцінками Specter і Bubblemaps, постраждали щонайменше 11 гаманців, а загалом менше 15 акаунтів. Якщо грубо поділити $3,1 млн на 11 жертв, виходить близько $282 тис. на гаманець. Це не дрібна крадіжка з випадкового акаунта. Це вже точковий удар по користувачах, які мали значні суми на сервісі.

  • Збитки: близько $3,1 млн.

  • Мережа атаки: Polygon, далі Ethereum.

  • Актив: PUSD, потім USDC.e і ETH.

  • Оцінка AMLBot: 1 891,9 ETH на трьох адресах.

  • Найбільший гаманець: приблизно 1 788,5 ETH.

  • За даними дослідників, постраждали щонайменше 11 гаманців.

Що це означає для інвесторів?

Для тих, хто активно торгує на prediction market або тримає там кошти, головний висновок дуже простий: перевіряти треба не тільки мережу, а й дозволи в гаманці. EIP-7702, який з’явився ще 7 травня 2024 року, дає нові можливості для delegation, але й відкриває нові двері для шахраїв. За описом у специфікації, один підпис authorization tuple може дати стійкий контроль виконання над акаунтом, якщо користувач не розуміє, що саме підтверджує.

Для українських користувачів тут є й практичний урок. Якщо ви працюєте з DeFi, маркетами прогнозів або будь-яким сайтом, де є підпис транзакцій, варто час від часу переглядати token approvals і відкликати зайві. Це не параноя. Це звичайна гігієна безпеки. До речі, подібні атаки часто б’ють саме по людям, які давно не перевіряли дозволи, а не по тим, хто щодня торгує.

Ще один нюанс, який важко ігнорувати: у Polymarket і до цього був складний фон. Платформа вже повідомляла про намір посилити географічні обмеження та AML-контроль, а в травні 2026 року CFTC подала скаргу проти інженера Google Michele Spagnuolo, якого звинуватили в інсайдерській торгівлі на Polymarket із прибутком близько $1,2 млн. Тобто тиск і з боку безпеки, і з боку регуляторів зростає одночасно.

Часті запитання

Скільки грошей втратили користувачі Polymarket?

За наявними даними, приблизно $3,1 млн у PUSD. AMLBot і PeckShield описали схему, в якій кошти пройшли через Polygon, Ethereum і були консолідовані на нових адресах.

Чи зламали саму платформу Polymarket?

За даними BleepingComputer, ні. Йдеться про атаку через стороннього постачальника і шкідливий скрипт у вебінтерфейсі, а не про компрометацію серверів або бекенду Polymarket.

Що робити користувачам після такої атаки?

Перш за все перевірити й відкликати зайві approvals у гаманці. Якщо ви користуєтесь сервісами з підписами транзакцій, краще ще раз подивитися, що саме підписуєте, особливо коли сайт просить незвичні дозволи.

Polymarket пообіцяв компенсації, але сама історія вже стала черговим сигналом для всіх, хто працює з ончейн-сервісами: один шкідливий скрипт може обійтися дуже дорого. Якщо вам потрібно швидко вивести криптовалюту в гривню, можна продати USDT TRC20 за гривню на картку без зайвих кроків і довгих очікувань.

Даний матеріал не є фінансовою рекомендацією. Торгівля криптовалютами пов'язана з ризиками. Частину тексту підготовлено з використанням штучного інтелекту на основі відкритих джерел та перевірено редакцією.