Polymarket підтверджує злом внутрішнього гаманця – кошти користувачів залишаються в безпеці

14 червня 2026 року Polymarket підтвердив внутрішню зломану гаманця, що спричинило хвилі в спільноті прогнозних ринків. Злом, вперше виявлений аналітичною компанією Bubblemaps, що аналізує блокчейн, включав серію підозрілих автоматичних переказів з операційного гаманця, пов’язаного з системою винагород платформи. Polymarket швидко уточнив, що кошти користувачів залишаються в безпеці, приписуючи інцидент компрометації приватного ключа, а не вразливості в основних смарт-контрактах платформи. Це розрізнення має велике значення: вразливість смарт-контракту могла б загрожувати кожному долару на платформі, тоді як компрометація операційного гаманця, хоча й серйозна, є локалізованою проблемою. Для тих, хто слідкує за розвитком кібербезпеки децентралізованих фінансових платформ у реальному часі, цей випадок є корисним дослідженням того, як сучасні прогнозні ринки справляються з проблемами безпеки, що пішло правильно і що ще потрібно виправити.

Відкриття: сповіщення Bubblemaps та автоматичні витоки

Перший публічний сигнал надійшов не від Polymarket, а від Bubblemaps — інструменту візуалізації блокчейну, що слідкує за групами гаманців і потоками токенів у кількох мережах. Їх автоматична система сповіщень зафіксувала схему витоків з відомої адреси, пов’язаної з Polymarket, у мережі Polygon, що спричинило негайний інтерес з боку спільноти безпеки криптовалют.

За кілька годин незалежні дослідники підтвердили цю знахідку. Вказана гаманця систематично опустошалася через серію ідентичних транзакцій, кожна з яких переміщувала фіксовану кількість POL токенів через регулярні інтервали. Механічна точність переказів була очевидною ознакою: людина-оператор не переміщує кошти у такій жорсткій, повторюваній схемі.

Виявлення шаблонів: повторювані перекази по 5000 POL

Зловмисник виконував перекази точно по 5000 POL приблизно кожні 12 хвилин протягом кількох годин. Такий метод поступового виведення — поширена тактика. Замість того, щоб одразу вивести всі кошти одним великим переказом, що міг би миттєво викликати сповіщення або бути передруканим, зловмисник розподіляв крадіжку на десятки менших транзакцій.

Коли Bubblemaps підняв тривогу, з гаманця вже було виведено приблизно 230 000 POL (вартістю близько 115 000 доларів на той час). Одноманітність сум і часів сильніше натякала на скрипт або бота, що керує виведенням, а не на ручні операції.

Відстеження адреси зловмисника у мережі Polygon

Блокчейн-інвестигатори швидко простежили адресу отримувача. Адреса зловмисника не мала попередньої історії транзакцій до інциденту, що є типовим для новостворених гаманців, використовуваних для зловмисних дій. Прозорість Polygon означає, що кожен крок був публічно видимий, але швидкість виведення і подальша обфускація ускладнили втручання у реальному часі. Фірми з блокчейн-розслідувань, такі як Chainalysis і Arkham Intelligence, почали маркувати пов’язані адреси протягом 24 годин.

Офіційна заява Polymarket: компрометація внутрішнього гаманця

Реакція Polymarket з’явилася приблизно через шість годин після сповіщення Bubblemaps. Платформа опублікувала заяву на X (колишній Twitter) і на своєму офіційному блозі, підтвердивши злом і надавши початкові деталі. У заяві чітко зазначалося, що баланс користувачів, позиції на ринках або механізми врегулювання не постраждали. Polymarket описав інцидент як «компрометацію приватного ключа внутрішнього операційного гаманця», чітко розмежовуючи цей випадок від будь-яких системних вразливостей у архітектурі платформи.

Витік приватного ключа проти вразливості смарт-контракту

Це розрізнення є критичним і вартим чіткого розуміння. Вразливість смарт-контракту означає, що код, що керує основними функціями платформи (депозити, зняття, створення ринків, врегулювання), має недолік, який може бути використаний зловмисником. Така помилка може призвести до повного зливу протоколу. Ми бачили це з хакінгом Euler Finance у 2023 році та експлойтом Mango Markets у 2022.

Компрометація приватного ключа принципово відрізняється. Це означає, що хтось отримав доступ до криптографічного ключа, що контролює конкретний гаманець. Смарт-контракти платформи працювали точно так, як задумано; проблема була в тому, що несанкціонована особа здобула доступ до облікових даних одного конкретного гаманця. Уявіть, що хтось краде ключ від кабінету банківського менеджера або знаходить недолік у механізмі запирання сейфу. Обидва сценарії погані, але масштаб руйнувань різниться значно.

Найновший аудит смарт-контрактів Polymarket, проведений Trail of Bits на початку 2026 року, не виявив критичних вразливостей. Ці результати залишаються актуальними, оскільки підтверджують цілісність коду, що фактично керує коштами користувачів.

Роль операційного гаманця у виплатах винагород

Компрометований гаманець виконував конкретну функцію: розподіл винагород за ліквідність і промоційних стимулів активним трейдерам. Він тримав POL токени, зарезервовані для цих програм, а не USDC або інші стабільні монети, що використовуються для ринкових позицій.

Цей гаманець працював як гарячий гаманець, тобто його приватний ключ зберігався у спосіб, що дозволяв автоматизовані, часті транзакції. Безпечність гарячих і холодних гаманців добре відома в індустрії: гарячі гаманці забезпечують швидкість і автоматизацію, але мають вищий ризик через доступність ключів онлайн. Холодне зберігання набагато безпечніше, але непрактично для високочастотних автоматичних виплат. Необхідність цього гаманця саме такою і зробила його вразливим.

Оцінка впливу та заспокоєння щодо безпеки користувачів

Фінансовий збиток від цього інциденту був відносно обмеженим. Вкрадені приблизно 115 000 POL становлять малу частку від загальної заблокованої вартості Polymarket, яка на момент злома перевищувала 480 мільйонів доларів. Трафік торгів не постраждав, і жодних ринків не призупиняли або не порушували.

Архітектура Polymarket суттєво сприяла обмеженню шкоди. Платформа розділяє операційні гаманці та інфраструктуру смарт-контрактів, що зберігають депозити користувачів і керують результатами ринків. Це розмежування — свідомий дизайн, і воно тут спрацювало.

Ізоляція депозитів користувачів і врегулювання ринків

Кошти користувачів у Polymarket зберігаються у смарт-контрактах у мережі Polygon, керованих кодом протоколу, а не приватним ключем. Депозити, зняття і врегулювання ринків виконуються через ці контракти. Компрометований операційний гаманець не мав повноважень на ці функції.

Це розмежування базується на принципі, що зрілі DeFi-протоколи все частіше застосовують: мінімізувати кількість гаманців із широкими дозволами. Операційний гаманець міг лише надсилати POL для винагород; він не міг взаємодіяти з балансами користувачів, змінювати параметри ринків або запускати врегулювання. Навіть якби зловмисник хотів маніпулювати ринками, цей гаманець просто не мав відповідних дозволів.

Поточний стан роботи платформи та ліквідність

На момент написання Polymarket працює у повному обсязі. Виплати винагород тимчасово призупинені, поки команда змінювала ключі і розгортала замінний гаманець. Платформа підтвердила, що заборговані винагороди користувачам будуть виплачені з окремого казначейського фонду.

Ліквідність у ключових ринках, включаючи політичні прогнози США і глобальні контракти на події, залишалася стабільною. За 48 годин після розкриття не було значних відтоків, що свідчить про те, що спільнота здебільшого прийняла пояснення Polymarket і обмежений характер злома.

Висновки щодо безпеки децентралізованих прогнозних ринків

Цей випадок піднімає ширші питання про те, як прогнозні ринки і платформи DeFi в цілому керують напругою між децентралізацією і зручністю операцій. Polymarket працює як гібрид: його основна механіка ринків базується на смарт-контрактах, але підтримуючі функції (винагороди, аналітика, підтримка клієнтів) залежать від більш традиційної централізованої інфраструктури.

Та модель є поширеною у DeFi 2026 року. Повністю децентралізовані операції залишаються непрактичними для платформ, що прагнуть залучити масового користувача, дотримуватися регуляцій, таких як MiCA в Європі, і підтримувати конкурентний досвід. Відповідно, централізовані компоненти створюють централізовані точки відмови.

Ризики централізованих операційних гаманців

Гаманець, контрольований одним приватним ключем, є ціллю. Протоколи безпеки прогнозних ринків, що керують смарт-контрактами для користувачів, не поширюються на ці операційні гаманці, якщо команда явно не передбачила інше. Основні вектори атак включають:

• Компрометація розробницьких машин або хмарних середовищ, де зберігаються ключі
• Фішинг-атаки на членів команди з доступом до гаманців
• Внутрішні загрози від нинішніх або колишніх співробітників
• Атаки на ланцюг постачання програмного забезпечення для управління ключами

Інцидент Polymarket ще не приписаний конкретному вектору, хоча платформа заявила, що розслідування триває за підтримки зовнішніх фірм безпеки.

Найкращі практики зменшення ризику гарячих гаманців

Деякі заходи можуть зменшити ризик і наслідки компрометації гарячих гаманців:

• Використовувати мульти-підписні гаманці для будь-яких адрес із значущими сумами, навіть операційних
• Встановлювати ліміти витрат, що обмежують суму транзакції або період
• Регулярно змінювати ключі і після змін у команді
• Зберігати ключі гарячих гаманців у апаратних модулях безпеки, а не у програмному забезпеченні
• Моніторити витоки у реальному часі з автоматичними сповіщеннями для виявлення аномалій

Polymarket заявив, що впровадить кілька з цих заходів для свого замінного операційного гаманця, включаючи мульти-підпис і ліміти витрат на транзакцію.

Постійний моніторинг і майбутні кроки з виправлення

Реакція Polymarket на компрометацію приватного ключа була переважно прозорою, що створює позитивний прецедент. Платформа пообіцяла опублікувати повний звіт про інцидент протягом 30 днів, включаючи причину витоку ключа, детальний хронологічний опис і конкретні заходи з виправлення.

Більш широке співтовариство прогнозних ринків має врахувати цей досвід. Оскільки платформи, такі як Polymarket, Kalshi та нові учасники, змагаються за частку ринку, інциденти безпеки все більше формуватимуть довіру користувачів і регуляторну оцінку. Добре вирішений інцидент із швидким розкриттям, чіткою комунікацією і демонстрацією обмеження шкоди може навіть підсилити репутацію платформи. Погано оброблений — з затримками, приховуванням або втратами користувачів — може бути фатальним.

Для користувачів головний висновок простий: розумійте, де фактично зберігаються ваші кошти. Якщо вони у смарт-контракті з аудиторським кодом і без адміністративного доступу через один ключ, ви перебуваєте у принципово іншій категорії ризику, ніж якщо вони у гаманці під контролем однієї особи. Задайте собі питання. Читайте звіти аудиту. І звертайте увагу, коли аналітики на зразок Bubblemaps піднімають прапорці, бо вони часто бачать проблеми раніше за самі платформи.