Des hackers ont compromis un fournisseur tiers de Polymarket et injecté un script malveillant dans l’interface du site de paris prédictifs, dérobant au passage environ 2,7 millions d’euros à une dizaine d’utilisateurs. La plateforme, déjà sous le feu des critiques pour une affaire de faux gains d’influenceurs, annonce des remboursements intégraux.
Le 25 juin, Polymarket a confirmé sur X qu’un prestataire tiers avait été compromis, et que des attaquants avaient exploité cet accès pour injecter un code malveillant dans le frontend du site. Polymarket est une plateforme de marchés prédictifs décentralisée, fondée par Shayne Coplan, sur laquelle les utilisateurs parient en cryptomonnaie sur l’issue d’événements politiques, sportifs ou économiques. La brèche a touché un nombre non précisé d’utilisateurs, mais les analystes blockchain estiment les pertes à environ 2,7 millions d’euros, prélevés sur plus de onze portefeuilles.
La porte-parole Connor Brandi a confirmé à TechCrunch que des fonds avaient bien été dérobés, sans fournir de détails supplémentaires ni répondre aux questions précises des journalistes. Polymarket a déclaré avoir supprimé la dépendance compromise et contacté les victimes pour les rembourser intégralement.
Un script malveillant vide les portefeuilles sans toucher aux contrats principaux
Les attaquants n’ont pas percé l’infrastructure centrale de Polymarket. Ils ont altéré le code d’un fournisseur externe, dont le nom n’a pas été divulgué, et ce script modifié a été distribué à certains utilisateurs via l’interface web du site. Les portefeuilles des utilisateurs ayant interagi avec la version infectée ont été vidés. Les contrats intelligents sous-jacents n'ont pas été exploités. Cette technique dite de compromission de chaîne d’approvisionnement (supply chain attack) contourne l'infrastructure centrale en visant un maillon périphérique hors du contrôle direct de la plateforme.
Les fonds dérobés étaient libellés en PUSD, le stablecoin interne de Polymarket adossé au dollar américain. La société de surveillance blockchain PeckShield et l’analyste Specter ont suivi les mouvements en temps réel. Les attaquants ont converti le PUSD en environ 1 893 ETH, soit environ 2,7 millions d’euros au cours du moment, avant de transférer le tout sur un portefeuille Ethereum via le réseau Polygon. Polymarket a confirmé la brèche moins de quinze minutes après le premier signalement public.
Deuxième incident en deux mois pour une plateforme déjà sous pression
Ce vol intervient six semaines après un autre incident. En mai, un portefeuille interne utilisé pour les opérations courantes et le versement de récompenses avait été vidé de quelque 640 000 euros à la suite d’une compromission de clé privée. Les fonds des utilisateurs n’avaient pas été touchés.
Par ailleurs, la plateforme traverse une période de turbulences répétées. La semaine précédente, une enquête du Wall Street Journal avait révélé que Polymarket avait rémunéré des influenceurs pour publier de faux gains sur des sites factices imitant la plateforme réelle, pour un montant affiché d’environ 1,7 million d’euros de paris entièrement inventés. Le mois précédent, un ingénieur de Google avait été inculpé pour délit d’initié sur Polymarket, après avoir engrangé environ 1,1 million d'euros en exploitant des données internes de recherche. Le volume mensuel combiné de Polymarket et de son concurrent Kalshi avait quadruplé entre septembre 2025 et avril 2026, pour passer de moins de 4,5 milliards d'euros à près de 22 milliards d’euros.Au moment des premières révélations, les ETH dérobés étaient encore traçables sur la blockchain, concentrés dans un portefeuille Ethereum unique.
Source : TechCrunch
