Polymarket потеряла $3,1 млн из-за взлома «фронтенд-провайдера» на фоне усиления расследования CFTC

Polymarket, крупнейшая в мире платформа для рынков предсказаний на основе криптовалют, в четверг сообщила, что скомпрометированный сторонний поставщик позволил злоумышленникам внедрить вредоносный JavaScript во фронтенд своего веб-сайта, что привело к выводу 3,1 млн долларов в pUSD из 11 подтвержденных кошельков пользователей — это второй серьезный сбой безопасности платформы за пять недель, который затронул пользователей напрямую. Фирма по анализу блокчейна AMLBot подтвердила обновленную цифру и количество кошельков в субботу, поскольку украденные средства — конвертированные примерно в 1893 ETH и переведенные из сети Polygon в Ethereum — остались на адресах, контролируемых злоумышленниками.

Атака увенчалась успехом не за счет использования какой-либо уязвимости в смарт-контрактах Polymarket, которые работали в точности по замыслу, а путем нацеливания на веб-уровень, через который пользователи получают доступ к этим контрактам. Это структурно иная категория угроз, чем те, которые призваны выявлять аудиты смарт-контрактов, — и она становится доминирующим вектором в сбоях безопасности DeFi. Согласно данным, отслеживаемым DefiLlama, взлом Polymarket стал 89-м зарегистрированным инцидентом безопасности в децентрализованных финансах во втором квартале 2026 года, что является самым высоким квартальным показателем за всю историю. Общие убытки от эксплойтов только в июне достигли 74,9 млн долларов, по сравнению с 60,5 млн долларов в мае.

Как взлом поставщика опустошил кошельки пользователей, не затронув сеть

Механика произошедшего 25 июня проливает свет на то, почему аудиты смарт-контрактов — ставшие стандартом в DeFi — не решают эту категорию атак. Децентрализованное приложение, такое как Polymarket, имеет два функционально раздельных уровня. Первый — это ончейн-уровень: смарт-контракты, развернутые в сети Polygon, которые управляют всей торговой активностью, хранят средства в стейблкоине pUSD и автоматически исполняют результаты. Эти контракты неизменяемы после развертывания, публично проверяемы и не могут быть подделаны ни одной стороной, включая саму платформу. Второй — это веб-уровень: обычный веб-сайт, через который пользователи взаимодействуют с этими контрактами. Этот уровень изменяем, зависит от внешних библиотек кода и сервисов поставщиков и поддерживается, как и любое другое веб-приложение.

Когда был скомпрометирован сторонний поставщик, предоставляющий код для веб-сайта Polymarket, злоумышленники получили возможность изменять то, что сайт выдавал пользователям. Вредоносный скрипт, который они внедрили, незаметно побуждал пользователей подписывать или одобрять транзакции, которые они никогда сознательно не инициировали, — и поскольку смарт-контракты не имели способа отличить законную подпись пользователя от подписи, полученной через мошеннический запрос, они добросовестно исполняли эти транзакции. Результат: 3,1 млн долларов в pUSD, находившихся на 11 кошельках, были авторизованы и переведены собственной логикой протокола. Блокчейн сделал именно то, что ему было сказано. Мошенничество произошло на уровень выше.

Фирма по безопасности блокчейна PeckShield и аналитическая платформа Bubblemaps подтвердили, что во время атаки пострадало менее 15 учетных записей. Polymarket заявила, что обнаружила компрометацию на ранней стадии, удалила затронутую зависимость и связывается с каждым пострадавшим пользователем для организации полного возмещения. Платформа не назвала скомпрометированного поставщика и не раскрыла, как долго вредоносный скрипт оставался активным до обнаружения.

Два взлома за пять недель

Этот инцидент стал вторым событием безопасности для Polymarket с конца мая. 22 мая отдельный взлом привел к потере от 520 000 до 700 000 долларов из внутренних операционных кошельков, связанных с выплатами призов в Polygon, — это была другая вектора атаки, нацеленная на инфраструктуру со стороны сотрудников через то, что следователи назвали приватным ключом, который оставался активным в течение шести лет. Тот инцидент не затронул напрямую средства пользователей. Этот затронул.

Эта закономерность имеет значение в текущем масштабе Polymarket. В марте 2026 года платформа завершила раунд финансирования, оценивший ее в 15 миллиардов долларов, обрабатывает миллиарды долларов ежемесячного объема торгов и недавно добивалась одобрения CFTC для официального возвращения на рынок США. Два инцидента за пять недель — затронувшие разные поверхности атаки — вызывают вопросы, выходящие за рамки отношений с каким-либо одним поставщиком: адекватны ли проверка сторонних зависимостей платформы, мониторинг целостности фронтенда и управление приватными ключами для того масштаба, на котором она теперь работает.

Исследователи безопасности называют атаки на цепочки поставок фронтенда DeFi растущей, систематически недостаточно решаемой угрозой. В отличие от уязвимости смарт-контракта, которую может выявить достаточно строгий аудит до развертывания, атака на цепочку поставок использует доверительные отношения между платформой и ее внешними зависимостями. Как только вредоносный код подается через доверенный интерфейс, он неотличим для большинства пользователей от легитимного поведения сайта.

Расследование CFTC подтверждено, сенаторы требуют ответов

Взлом произошел на фоне уже углубляющегося регуляторного кризиса. CNBC, ссылаясь на осведомленный источник, сообщила, что Комиссия по торговле товарными фьючерсами (CFTC) проводит «текущее и обширное расследование» в отношении Polymarket. CFTC отказалась официально подтвердить или опровергнуть запрос при обращении к ней The Block. Масштаб расследования — и включает ли оно теперь сбой безопасности — не разглашается.

Расследование началось еще до новостей о взломе. Его корни лежат в отдельном скандале: расследование The Wall Street Journal, опубликованное 20 июня, утверждало, что Polymarket организовала кампанию в социальных сетях, в рамках которой платные создатели контента публиковали видеоролики с симуляцией сделок и преувеличенными выигрышами на веб-сайтах, имитирующих платформу. Обзор более 1100 видео показал, что примерно в 70% демонстрировались поддельные ставки на общую сумму около 1,9 млн долларов. Сообщается, что многие создатели не раскрывали свою компенсацию, а кампания набрала миллионы просмотров — несмотря на то, что основная международная платформа Polymarket остается недоступной для пользователей из США.

Polymarket заявила, что проведет всесторонний аудит активного рекламного контента для обеспечения соответствия своей политике и применимым требованиям раскрытия информации. Компания не комментировала расследование CFTC или письмо сенаторов.

Такой ответ не удовлетворил законодателей. Сенаторы Адам Шифф (демократ от Калифорнии) и Джон Кертис (республиканец от Юты) направили двухпартийное письмо председателю CFTC Майклу С. Селигу с требованием письменных ответов к 10 июля. Письмо содержит шесть вопросов, в том числе о том, проводит ли CFTC активное расследование в отношении поведения, описанного в отчете The Wall Street Journal, какие шаги предприняло агентство с момента его правоприменительного действия против Polymarket в 2022 году для предотвращения нацеливания платформы на пользователей из США, и обладает ли CFTC достаточными полномочиями и ресурсами для обеспечения защиты потребителей, сопоставимой с теми, которые применяются к операторам азартных игр, лицензированным штатами.

“CFTC неоднократно заявляла о своей регуляторной юрисдикции в отношении рынков предсказаний и контрактов на события”, — написали сенаторы. “Однако, поскольку создатели контента регулярно представляют рынки предсказаний как «бесплатные деньги», мало оснований относиться к ним иначе, чем к азартным играм”.

Мировое соглашение 2022 года, которое не закрыло вопрос

Правоприменительное действие, на которое ссылались сенаторы, привело к штрафу в размере 1,4 миллиона долларов в отношении Polymarket в 2022 году за управление незарегистрированным рынком бинарных опционов на основе событий в нарушение Закона о товарных биржах. Polymarket тогда согласилась заблокировать пользователей из США и прекратить эти нарушения. Двухпартийное письмо сигнализирует о том, что сенаторы считают, что поведение платформы с момента заключения этого соглашения продолжает вызывать серьезную озабоченность.

Давление Конгресса совпадает с тем, что CFTC одновременно отстаивает свою исключительную юрисдикцию над рынками предсказаний на фоне расширяющегося круга претензий со стороны штатов. 23 июня агентство подало иск против Кентукки — это девятый подобный иск против штата — после того, как генеральный прокурор Кентукки Рассел Коулман подал в суд на Kalshi и Polymarket в суде штата, обвинив обе платформы в управлении незаконными букмекерскими конторами в соответствии с законодательством Кентукки об азартных играх. Двадцать штатов теперь вовлечены в активные судебные разбирательства с платформами рынков предсказаний.

Что сейчас должны делать пользователи Polymarket

Всем, кто обращался к Polymarket в период взлома 25 июня, исследователи безопасности советуют проверить недавнюю активность кошелька на предмет несанкционированных транзакций и отозвать любые одобрения токенов, которые больше не нужны. Аппаратные кошельки — которые отображают реальные адреса назначения на физически отдельном, доверенном экране, недоступном для внедренных браузерных скриптов, — остаются наиболее надежным средством защиты от этой категории атак.

Процесс возмещения Polymarket покрывает пострадавших держателей pUSD. Пользователи, считающие, что их кошелек был опустошен, должны связаться с платформой напрямую. По состоянию на субботу украденные средства не были перемещены с адресов Ethereum, контролируемых злоумышленниками, куда они были консолидированы после моста из Polygon.

Могут ли аудиты смарт-контрактов защитить пользователей DeFi?

Взлом Polymarket наглядно демонстрирует структурное ограничение, которое индустрия DeFi еще не решила с той же строгостью, которую она применяет к ончейн-коду: безопасность веб-интерфейса — это иная проблема, нежели безопасность блокчейна. Аудит смарт-контракта подтверждает корректность ончейн-логики. Он ничего не говорит о том, был ли изменен веб-сайт, обслуживающий этот контракт. В Polymarket контракты были корректны. Интерфейс — нет. Пользователи, не имея надежного способа отличить законный запрос на транзакцию от мошеннического, доставленного через сайт, которому они доверяли, подписывали и одобряли то, что им показывали.

Быстрый рост DeFi — убытки от эксплойтов на сумму 74,9 млн долларов только в июне 2026 года, при рекордных 89 инцидентах за квартал, — предполагает, что безопасность фронтенда является следующим критическим пробелом, который индустрии необходимо устранить. Мониторинг целостности веб-зависимостей в реальном времени, формальные стандарты аудита сторонних поставщиков и инструменты прозрачности на уровне транзакций, показывающие пользователям, что именно будет авторизовано подписью, — все это технически доступно и пока не является стандартной практикой в секторе.

Часто задаваемые вопросы

Взлом Polymarket связан с уязвимостью смарт-контракта?

Нет. Базовые смарт-контракты Polymarket в сети Polygon работали корректно и не были скомпрометированы. Взлом был атакой на цепочку поставок на фронтенде веб-сайта: злоумышленники скомпрометировали стороннего поставщика, предоставляющего код для сайта, внедрили вредоносный скрипт и использовали его, чтобы побудить пользователей подписывать транзакции, которые они не намеревались авторизовать. Смарт-контракты исполнили именно то, что получили, — у них не было механизма для различения законной подписи от мошеннической.

Что такое атака на цепочку поставок в DeFi и почему ее трудно предотвратить?

Атака на цепочку поставок нацелена на доверенную внешнюю зависимость, а не на саму основную платформу. В контексте DeFi это означает компрометацию поставщика, библиотеки или поставщика услуг, который предоставляет код для веб-сайта децентрализованного приложения. Поскольку злоумышленник проникает в цепочку поставок выше по течению, вредоносный код достигает пользователей через источник, которому они уже доверяют, — собственный веб-сайт платформы. Стандартные аудиты смарт-контрактов оценивают ончейн-код, а не внешние зависимости веб-уровня. Этот структурный пробел объясняет, почему взлом Polymarket удался, несмотря на то, что контракты платформы остались нетронутыми.

Возмещает ли Polymarket пользователям, потерявшим средства при взломе?

Да. Polymarket обязалась полностью возместить средства всем пользователям, чьи pUSD были выведены в результате взлома 25 июня. Платформа заявила, что напрямую связывается с каждым пострадавшим держателем кошелька. По состоянию на субботу было подтверждено, что пострадало менее 15 учетных записей, а общие убытки, по данным фирмы по анализу блокчейна AMLBot, были обновлены до 3,1 млн долларов.

Что расследует CFTC в Polymarket?

CNBC, ссылаясь на осведомленный источник, сообщила, что CFTC проводит текущее расследование в отношении Polymarket. Агентство отказалось официально подтвердить или опровергнуть расследование. Отдельно, расследование The Wall Street Journal, опубликованное 20 июня, утверждало, что Polymarket платила создателям контента за публикацию видеороликов с поддельными сделками и преувеличенными выигрышами, при этом многие создатели не раскрывали свою компенсацию. Двухпартийные сенаторы Адам Шифф (демократ от Калифорнии) и Джон Кертис (республиканец от Юты) направили письмо с требованием письменных ответов от председателя CFTC Майкла Селига к 10 июля.