Polymarket frappé par $700K exploit : ce que nous savons et pourquoi les experts disent que cela aurait pu être pire

Polymarket a été victime d'une attaque plus tôt vendredi après qu'une faille dans un contrat a drainé plus de 600 000 $ en crypto.
Malgré l'ampleur du vol, plusieurs analystes en sécurité ont souligné que les fonds des utilisateurs et les résultats du marché n'ont pas été affectés.

Un expert a même soutenu que l'incident aurait pu être beaucoup plus grave si des contrôles supplémentaires dans le contrat compromis avaient été utilisés.

L'attaque contre Polymarket

Selon les découvertes de l'enquêteur en chaîne ZacXBT à ce sujet, il a signalé une exploitation suspecte impliquant le contrat UMA CTF Adapter de Polymarket sur Polygon (POL).
Au moment du rapport, le montant total associé à l'exploitation avait augmenté pour atteindre près de 700 000 $.

La répartition du fonctionnement de l'exploitation a été détaillée par l'expert en sécurité Ox Abdul.
Dans son explication, le premier point clé était que la somme en USDC — plus de 600 000 $ — semblait avoir été drainée en une seule fois d’un portefeuille spécifique sur Polygon, identifié comme 0x8F98, l’administrateur de l’UMA CTF Adapter.

Ox Abdul a également décrit comment l’automatisation de Polymarket semble avoir contribué à la mécanique de l’exploitation.
Il a dit que le système de recharge de Polymarket envoyait à plusieurs reprises 5 000 POL toutes les 30 secondes environ pour maintenir un portefeuille oracle de gaz financé.

Plutôt que de voler une seule fois, l’attaquant a attendu chaque rechargement, puis a balayé environ 120 cycles sur une période d’environ 70 minutes, qu’il a estimée à environ 600 000 POL.

Il est important de noter que les pertes continues en POL dans ce compte ont été attribuées à la rapidité avec laquelle la détection et la réponse de Polymarket ont été effectuées.
L’exploitation a finalement été stoppée après la rotation des clés.

Comment l’exploitation aurait pu être pire

Après avoir drainé les recharges, Ox Abdul a dit que l’exploiteur est ensuite sorti via 16 sous-adresses en utilisant ChangeNOW.
Même avec les dégâts limités, il a averti que la situation présentait des signaux d’alerte potentiels au-delà du vol lui-même.

Selon lui, le portefeuille administrateur compromis ne contenait pas seulement des USDC et des POL ; il détenait également des droits “resolveManually” sur l’UMA Adapter.
Ces permissions de résolution manuelle, a-t-il expliqué, pouvaient contourner l’oracle et permettre à un attaquant de forcer n’importe quel résultat de marché sur Polymarket.

Ox Abdul a exposé à quoi aurait pu ressembler la situation en termes pratiques.
Il a dit que l’attaquant aurait pu prendre de grandes positions dans des marchés spécifiques, puis signaler ces marchés pour une résolution manuelle, attendre la fenêtre de sécurité d’environ une heure, et enfin utiliser resolveManually pour résoudre les marchés en faveur de ses positions.

Après l’incident, Josh Stevens, un développeur principal chez Polymarket, a fourni un contexte supplémentaire via les réseaux sociaux.
Stevens a attribué le problème à une clé privée compromise vieille de 6 ans, expliquant qu’elle était incluse dans une configuration de recharge interne — ainsi, des fonds étaient envoyés à la clé pendant qu’elle restait active.

Il a ajouté que la clé a été remplacée, toutes les permissions de production ont été révoquées, et la société déplace toutes les clés privées vers des clés gérées par KMS à l’avenir.

Lancement d'une enquête fédérale

Pendant que l’incident technique se déroulait, Polymarket faisait également face à un contrôle réglementaire vendredi.
Comme l’a rapporté Bitcoinist, le représentant James Comer, président du comité de surveillance et de réforme du gouvernement de la Chambre, a annoncé une enquête officielle sur les plateformes de marché de prédiction Polymarket et Kalshi.

Comer a déclaré que le comité cherche à obtenir des informations auprès des PDG des deux sociétés concernant leurs efforts pour prévenir le délit d’initié sur leurs plateformes.

Dans sa lettre, il a demandé des documents et des détails sur la façon dont les deux plateformes mettent en œuvre la vérification d’identité pour les titulaires de comptes nationaux et internationaux, appliquent des restrictions géographiques, et détectent les activités de trading anormales pour aider à prévenir le délit d’initié sur leurs plateformes mondiales.

Dans un développement séparé, Bloomberg a rapporté que Polymarket a nommé un représentant au Japon tout en se préparant à faire pression pour l’autorisation des marchés de prédiction dans le pays.
Selon des sources citées dans le rapport, l’objectif de Polymarket est d’obtenir l’approbation du gouvernement japonais d’ici 2030.

Image en vedette créée avec OpenArt, graphique de TradingView.com