Polymarket подтверждает взлом внутреннего кошелька – средства пользователей остаются в безопасности

14 июня 2026 года Polymarket подтвердил внутреннюю взломку кошелька, которая вызвала волну обсуждений в сообществе предсказательных рынков. Уязвимость, впервые отмеченная аналитической компанией Bubblemaps, связана с серией подозрительных автоматических переводов с операционного кошелька, связанного с системой вознаграждений платформы. Polymarket быстро прояснил ситуацию, заявив, что средства пользователей остаются в безопасности, и связал инцидент с компрометацией приватного ключа, а не с ошибкой в основных смарт-контрактах платформы. Это различие очень важно: уязвимость смарт-контракта могла бы угрожать каждому доллару на платформе, тогда как компрометация операционного кошелька, хотя и серьезная, является локальной проблемой. Для тех, кто следит за развитием кибербезопасности платформ децентрализованных финансов в реальном времени, этот инцидент служит полезным примером того, как современные предсказательные рынки справляются с проблемами безопасности, что было сделано правильно и что еще требует доработки.

Обнаружение: оповещения Bubblemaps и автоматические исходящие переводы

Первый публичный сигнал поступил не от самой Polymarket, а от Bubblemaps — инструмента визуализации на блокчейне, который отслеживает кластеры кошельков и потоки токенов по нескольким сетям. Их автоматическая система оповещений зафиксировала схему исходящих переводов с известного адреса, связанного с Polymarket, в сети Polygon, что вызвало немедленное внимание со стороны сообщества крипто-безопасности.

В течение нескольких часов независимые исследователи подтвердили находку. Указанный кошелек систематически опустошался через серию одинаковых транзакций, каждая из которых переводила фиксированное количество POL токенов с регулярными интервалами. Механическая точность переводов выдавала автоматизированный характер: человек-оператор не перемещает средства в такой жесткой, повторяющейся манере.

Распознавание шаблонов: повторяющиеся переводы по 5000 POL

Злоумышленник выполнял переводы ровно по 5000 POL примерно каждые 12 минут в течение нескольких часов. Такой метод постепенного вывода — распространенная тактика. Вместо того чтобы сразу опустошить кошелек одним крупным переводом, что могло бы сразу вызвать тревогу или быть предварительно заблокировано, он разбивал кражу на десятки меньших транзакций.

К моменту, когда Bubblemaps поднял тревогу, из кошелька уже было выведено примерно 230 000 POL (примерно на 115 000 долларов по текущему курсу). Однородность сумм и интервалов указывала на использование скрипта или бота для автоматизации процесса, а не ручных операций.

Отслеживание адреса злоумышленника в сети Polygon

На блокчейне расследователи быстро проследили получающий адрес. У злоумышленника не было предыдущих транзакций до инцидента, что типично для свежесозданных кошельков, используемых для эксплойтов. Прозрачность Polygon означала, что все шаги были публично видимы, однако скорость вывода и последующая маскировка затрудняли вмешательство в реальном времени. Компании по блокчейн-аналитике, такие как Chainalysis и Arkham Intelligence, начали маркировать связанные адреса в течение 24 часов.

Официальное заявление Polymarket: компрометация внутреннего кошелька

Ответ Polymarket последовал примерно через шесть часов после сигнала Bubblemaps. Платформа опубликовала заявление в X (ранее Twitter) и на своем официальном блоге, подтвердив взлом и предоставив начальные детали. В заявлении явно отмечалось, что балансы пользователей, рыночные позиции и механизмы разрешения не пострадали. Polymarket охарактеризовал инцидент как «компрометацию приватного ключа внутреннего операционного кошелька», четко отделяя этот случай от системных уязвимостей архитектуры платформы.

Утечка приватного ключа vs. уязвимость смарт-контракта

Это различие критически важно и требует ясного понимания. Уязвимость смарт-контракта означает, что код, управляющий основными функциями платформы (депозиты, выводы, создание рынков, разрешение), содержит ошибку, которую злоумышленник может использовать. Такой баг способен полностью вывести средства из протокола. Мы видели это на примере взлома Euler Finance в 2023 году и эксплойта Mango Markets в 2022.

Компрометация приватного ключа принципиально иная ситуация. Это означает, что злоумышленник получил доступ к криптографическому ключу, контролирующему конкретный кошелек. Смарт-контракты платформы функционировали точно так, как задумано; проблема в том, что неавторизованное лицо получило учетные данные для одного конкретного адреса. Можно представить это как кражу ключа от сейфа банка или обнаружение уязвимости в механизме запирания хранилища. Обе ситуации плохие, но радиус поражения существенно различается.

Последний аудит смарт-контрактов Polymarket, проведенный компанией Trail of Bits в начале 2026 года, не выявил критических уязвимостей. Эти результаты остаются актуальными, поскольку подтверждают целостность кода, который управляет средствами пользователей.

Роль операционного кошелька в выплатах вознаграждений

Этот кошелек выполнял конкретную функцию: распределение вознаграждений за ликвидность и промоакции активным трейдерам. Он хранил POL токены, предназначенные для этих программ, а не USDC или другие стейблкоины, используемые для рыночных позиций.

Кошелек функционировал как горячий кошелек, то есть его приватный ключ хранился так, чтобы обеспечить автоматические, частые транзакции. Безопасность горячих кошельков и холодных хранилищ хорошо известна в индустрии: горячие кошельки позволяют быстро и автоматизировать операции, но несут больший риск, поскольку их ключи доступны онлайн. Холодное хранение гораздо безопаснее, но непрактично для высокочастотных автоматических выплат. Необходимость этого кошелька в дизайне именно так и делала его уязвимым.

Оценка воздействия и уверенность в безопасности пользователей

Финансовый ущерб от этого инцидента был относительно ограничен. Украденные примерно 115 000 POL — это небольшая часть общего заблокированного на платформе объема, который на момент взлома превышал 480 миллионов долларов. Торговый объем платформы остался стабильным, и ни один рынок не был приостановлен или нарушен.

Архитектура Polymarket сыграла важную роль в ограничении ущерба. Платформа разделяет операционные кошельки и инфраструктуру смарт-контрактов, которая хранит депозиты пользователей и управляет исходами рынков. Такое разделение — сознательный дизайн, и оно сработало в данном случае.

Изоляция пользовательских депозитов и разрешения рынков

Средства пользователей на Polymarket хранятся в смарт-контрактах в сети Polygon, управляемых кодом протокола, а не одним приватным ключом. Депозиты, выводы и разрешения рынков осуществляются через эти контракты. Взломанный операционный кошелек не имел полномочий управлять этими функциями.

Это разделение следует принципу, который все более широко используют зрелые DeFi-протоколы: минимизация количества кошельков с широкими правами. Операционный кошелек мог только отправлять POL для вознаграждений; он не мог взаимодействовать с балансами пользователей, изменять параметры рынков или инициировать разрешения. Даже если злоумышленник захотел бы манипулировать рынками, у него просто не было таких полномочий.

Текущий статус работы платформы и ликвидности

На момент написания Polymarket полностью функционирует. Распределение вознаграждений было временно приостановлено, пока команда меняла ключи и разворачивала заменяющий кошелек. Платформа подтвердила, что невыплаченные вознаграждения пользователям будут выплачены из отдельного казначейства.

Ликвидность по основным рынкам, включая предсказания по политике США и глобальные события, осталась стабильной. В течение 48 часов после раскрытия инцидента не зафиксировано значительных оттоков, что говорит о том, что сообщество в целом приняло объяснение Polymarket и локализованный характер уязвимости.

Значение для безопасности децентрализованных предсказательных рынков

Этот взлом поднимает более широкие вопросы о том, как предсказательные рынки и платформы DeFi в целом управляют балансом между децентрализацией и операционной удобством. Polymarket работает как гибрид: его основные механики рынка реализованы через смарт-контракты, а вспомогательные функции (вознаграждения, аналитика, поддержка клиентов) основаны на более традиционной централизованной инфраструктуре.

Такая гибридная модель — распространена в DeFi 2026 года. Полностью децентрализованные операции пока что остаются непрактичными для платформ, которым нужно привлекать массовую аудиторию, соблюдать регуляции вроде MiCA в Европе и обеспечивать конкурентоспособный пользовательский опыт. В результате, централизованные компоненты создают централизованные точки отказа.

Риски централизованных операционных кошельков

Любой кошелек, управляемый одним приватным ключом, является целью. Протоколы безопасности предсказательных рынков, регулирующие взаимодействие со смарт-контрактами пользователей, не распространяются на эти операционные кошельки, если команда явно не предусмотрела их защиту. Распространенные векторы атак включают:

• Компрометацию разработческих машин или облачных сред, где хранятся ключи
• Фишинг-атаки на участников команды с доступом к кошелькам
• Внутренние угрозы со стороны текущих или бывших сотрудников
• Атаки на цепочку поставок программного обеспечения для управления ключами

Инцидент Polymarket пока не приписан конкретному вектору, однако платформа заявила, что расследование продолжается при содействии внешних специалистов по безопасности.

Лучшие практики снижения риска горячих кошельков

Несколько методов могут снизить риск и последствия компрометации горячих кошельков:

• Использовать мультиподписные кошельки для любых адресов с значительными суммами, даже операционных
• Внедрять лимиты расходов, ограничивающие сумму транзакции или за определенный период
• Регулярно менять ключи и после изменений в команде
• Хранить ключи горячих кошельков в аппаратных модулях безопасности, а не в программных решениях
• Вести мониторинг исходящих потоков в реальном времени с автоматическими оповещениями о подозрительных паттернах

Polymarket заявил, что внедрит некоторые из этих мер для своего нового операционного кошелька, включая мультиподписные требования и лимиты на транзакции.

Постоянный мониторинг и дальнейшие шаги по устранению

Ответ Polymarket на компрометацию приватного ключа был в целом прозрачным, что создает положительный пример. Платформа обязалась опубликовать полный постмортем в течение 30 дней, включающий причины утечки ключа, подробную хронологию и конкретные меры по устранению уязвимости.

Более широкая экосистема предсказательных рынков должна обратить внимание. По мере конкуренции платформ таких как Polymarket, Kalshi и новых участников, инциденты безопасности все больше будут влиять на доверие пользователей и регуляторное восприятие. Хорошо решенный инцидент, с быстрой раскрытием, ясной коммуникацией и демонстрацией локализации, может даже укрепить репутацию платформы. Плохо — задержки, сокрытие информации или потери пользователей — может стать фатальными.

Для пользователей главный вывод прост: понимайте, где реально хранятся ваши средства. Если они в смарт-контракте с проверенным кодом и без одностороннего доступа по ключу, вы находитесь в кардинально другой категории риска, чем если бы они хранились в кошельке, управляемом одним человеком на ноутбуке. Задавайте вопросы. Читайте отчеты по аудиту. И обращайте внимание, когда аналитики на блокчейне, такие как Bubblemaps, поднимают тревогу — зачастую они видят проблемы раньше самих платформ.