arrow back

Хакеры украли $3,1 млн у пользователей Polymarket

28 июня 2026

Хакеры украли $3,1 млн у пользователей Polymarket через фишинг в Polygon. Узнайте, как это произошло и что делать трейдерам.

Хакеры украли около $3,1 млн у пользователей Polymarket во время фишинговой атаки в сети Polygon, а платформа пообещала полное возмещение. Больше всего это затронуло трейдеров, которые держали PUSD и подписывали запросы через интерфейс сервиса.

Инцидент стал известен 27 июня 2026 года благодаря данным AMLBot. По их оценке, злоумышленники использовали вредоносный механизм делегированного выполнения EIP-7702, перевели PUSD в USDC.e через Relay, вывели активы из Polygon в Ethereum, а затем обменяли их на ETH. В итоге на новых адресах оказалось около 1 891,9 ETH, а крупнейший из них контролирует примерно 1 788,5 ETH. По курсу ETH $1 570,36 это почти $2,97 млн и $2,81 млн соответственно.

По данным BleepingComputer, атаку связывают с 25 июня 2026 года, а бэкенд и серверы Polymarket не были скомпрометированы. Проблема пришла через стороннего вендора и вредоносный скрипт в веб-интерфейсе. Это важная деталь, потому что для пользователя все выглядело как обычный сайт, а риск исходил не от самой сети, а от цепочки поставок.

Почему эта атака ударила именно по пользователям Polymarket?

Здесь все упирается в доверие к интерфейсу. Человек открывает сайт, видит знакомые кнопки, подписывает запрос, и именно в этот момент вредоносный код подсовывает не тот approval. Проще говоря, злоумышленник не ломал блокчейн, он подменил то, что видит пользователь.

Polymarket прямо заявила, что причина инцидента, по ее данным, во взломе стороннего поставщика. Компания сказала, что локализовала проблему, удалила скомпрометированную зависимость и начала связываться с пострадавшими. Она также пообещала полностью компенсировать потери. Это уже не первый удар по репутации платформы, и на этом фоне напоминаем о недавней истории с потерей до $15 млн у MEV-бота Ethereum, где тоже видно, как быстро средства могут сменить адрес.

Реакция рынка

AMLBot первыми описали схему с PUSD, USDC.e, Ethereum и консолидацией на трех новых адресах. PeckShield тоже подтвердили масштабную фишинговую кампанию. Они оценили потери примерно в $3 млн и сказали, что злоумышленник перевел средства из Polygon в Ethereum и обменял их на около 1 893 ETH.

«Похоже, что фишинговая кампания нацелена на пользователей Polymarket, у которых украли около $3 млн в PUSD. Злоумышленник перевел средства из Polygon в Ethereum и обменял их примерно на 1893 ETH», — отметили в PeckShield.

Есть еще один важный штрих. По оценкам Specter и Bubblemaps, пострадали как минимум 11 кошельков, а всего менее 15 аккаунтов. Если грубо разделить $3,1 млн на 11 жертв, получается около $282 тыс. на кошелек. Это не мелкая кража с случайного аккаунта. Это уже точечный удар по пользователям, которые держали значительные суммы на сервисе.

  • Ущерб: около $3,1 млн.

  • Сеть атаки: Polygon, далее Ethereum.

  • Актив: PUSD, затем USDC.e и ETH.

  • Оценка AMLBot: 1 891,9 ETH на трех адресах.

  • Крупнейший кошелек: примерно 1 788,5 ETH.

  • По данным исследователей, пострадали как минимум 11 кошельков.

Что это значит для инвесторов?

Для тех, кто активно торгует на prediction market или держит там средства, главный вывод очень простой: проверять нужно не только сеть, но и разрешения в кошельке. EIP-7702, который появился еще 7 мая 2024 года, дает новые возможности для delegation, но и открывает новые двери для мошенников. По описанию в спецификации, один подписанный authorization tuple может дать устойчивый контроль выполнения над аккаунтом, если пользователь не понимает, что именно подтверждает.

Для украинских пользователей здесь есть и практический урок. Если вы работаете с DeFi, рынками прогнозов или любым сайтом, где есть подпись транзакций, стоит время от времени пересматривать token approvals и отзывать лишние. Это не паранойя. Это обычная гигиена безопасности. Кстати, подобные атаки часто бьют именно по людям, которые давно не проверяли разрешения, а не по тем, кто торгует каждый день.

Еще один нюанс, который трудно игнорировать: у Polymarket и до этого был сложный фон. Платформа уже сообщала о намерении усилить географические ограничения и AML-контроль, а в мае 2026 года CFTC подала жалобу против инженера Google Michele Spagnuolo, которого обвинили в инсайдерской торговле на Polymarket с прибылью около $1,2 млн. То есть давление и со стороны безопасности, и со стороны регуляторов растет одновременно.

Частые вопросы

Сколько денег потеряли пользователи Polymarket?

По имеющимся данным, примерно $3,1 млн в PUSD. AMLBot и PeckShield описали схему, в которой средства прошли через Polygon, Ethereum и были консолидированы на новых адресах.

Взломали ли саму платформу Polymarket?

По данным BleepingComputer, нет. Речь идет об атаке через стороннего поставщика и вредоносный скрипт в веб-интерфейсе, а не о компрометации серверов или бэкенда Polymarket.

Что делать пользователям после такой атаки?

В первую очередь проверить и отозвать лишние approvals в кошельке. Если вы пользуетесь сервисами с подписями транзакций, лучше еще раз посмотреть, что именно вы подписываете, особенно когда сайт просит необычные разрешения.

Polymarket пообещал компенсации, но сама история уже стала очередным сигналом для всех, кто работает с ончейн-сервисами: один вредоносный скрипт может обойтись очень дорого. Если вам нужно быстро вывести криптовалюту в гривну, можно продать USDT TRC20 за гривну на карту без лишних шагов и долгого ожидания.

Данный материал не является финансовой рекомендацией. Торговля криптовалютами сопряжена с рисками. Часть текста подготовлена с использованием искусственного интеллекта на основе открытых источников и проверена редакцией.