Polymarket a été piraté, 11 portefeuilles ont été dévalisés de 3,1 millions de dollars, deuxième attaque de la chaîne d'approvisionnement en six mois.

Polymarket : le montant des pertes liées à l'attaque de la chaîne d'approvisionnement est passé à environ 3,1 millions de dollars, avec 11 portefeuilles d'utilisateurs dérobés ; bien que la plateforme ait promis un remboursement intégral il y a plusieurs jours, elle n'a pas encore répondu publiquement samedi matin.
(Contexte précédent : le New York Times révèle que Meta développe une application de marché de prédiction « Arena », Zuckerberg jaloux de Polymarket ?)
(Complément de contexte : nouvelle alerte de sécurité dans la DeFi ! Token of Power piraté pour 1,58 million de dollars, les fonds volés entièrement dirigés vers Tornado Cash)

Le marché de prédiction décentralisé Polymarket a subi cette semaine une attaque de la chaîne d'approvisionnement. Selon une mise à jour de la société de renseignement blockchain AMLBot samedi sur X : 11 portefeuilles d'utilisateurs ont été dérobés, les pertes s'élevant à environ 3,1 millions de dollars, les fonds étant libellés en jeton natif de la plateforme, PUSD, et immédiatement pontés via Polygon vers le réseau principal Ethereum après le vol.

Polymarket sous attaque

Les utilisateurs de Polymarket ont été vidés d'environ 3,1 millions de dollars en PUSD sur Polygon via une exécution déléguée de phishing / malveillante EIP-7702.

Les fonds ont été convertis en USDC.e via Relay, pontés vers Ethereum, échangés en ETH, et consolidés à… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 juin 2026

Attaque de la chaîne d'approvisionnement : script malveillant injecté depuis le front-end

L'incident s'est produit jeudi. Polymarket a déclaré ce jour-là dans un communiqué officiel sur X : « Ce matin, nous avons découvert qu'un fournisseur tiers avait été compromis, injectant un script malveillant dans le front-end de certains utilisateurs. Nous avons contrôlé et supprimé la dépendance affectée, contactons les utilisateurs concernés et procédons à un remboursement intégral. » La plateforme a souligné que le contrat intelligent Polygon lui-même n'a pas été affecté ; il s'agit d'une attaque de la chaîne d'approvisionnement ciblant l'interface front-end, l'attaquant ayant infiltré un paquet de dépendances externe, et non la logique du contrat.

La victime Ash a raconté sur X que son portefeuille a été piraté sans qu'elle en connaisse la raison sur le moment, et qu'elle n'a réalisé qu'après coup que les fonds avaient été transférés. Elle a publiquement partagé l'adresse de son portefeuille et celle de l'attaquant, devenant l'un des premiers cas de victime publique.

La plateforme promet un remboursement, mais les problèmes de sécurité ne sont pas nouveaux

William LeGate, une personne associée au cofondateur de Polymarket, a publiquement déclaré qu'il rembourserait intégralement, soulignant que les utilisateurs « ne perdront rien ». Cependant, ce n'est pas la première fois que Polymarket est confronté à des risques de sécurité.

L'enquêteur on-chain ZachXBT a indiqué en mars dernier que deux contrats intelligents suspectés d'être liés à Polymarket sur Polygon avaient été transférés pour plus de 520 000 dollars, et la plateforme avait alors répondu que les fonds étaient en sécurité. Plus tôt, en décembre de l'année dernière, après que des utilisateurs eurent signalé successivement des pertes de fonds et des connexions suspectes, la plateforme a finalement confirmé un incident de sécurité sur Discord, l'imputant à un fournisseur de connexion tiers inconnu, une méthode d'attaque identique à celle-ci : un tiers compromis, le front-end de Polymarket servant de tremplin à l'attaque.

Les trois questions suivantes seront au centre de l'attention du marché : la promesse de remboursement sera-t-elle tenue ? Les 3,1 millions de dollars pourront-ils être récupérés auprès de l'attaquant ? Et Polymarket rendra-t-il publics les détails techniques complets de la vulnérabilité du fournisseur tiers ?