Introduction
Polymarket a subi un incident de sécurité vendredi, lorsque l’enquêteur on-chain ZachXBT a signalé un drain présumé provenant d’un portefeuille lié à l’infrastructure Polygon du marché de prédiction, avec plus de 520 000 dollars initialement déclarés comme manquants. Les développeurs de Polymarket ont ensuite reconnu l’incident, confirmant une compromission de clé privée d’un portefeuille d’« internal top-up » utilisé pour les opérations de récompenses, tout en précisant que les fonds des utilisateurs et les résultats de marché restaient en sécurité. La plateforme d’analytics on-chain Bubblemaps a ensuite estimé la perte totale à environ 700 000 dollars, les fonds dérobés étant répartis entre 16 adresses et acheminés via des échanges centralisés ainsi que d’autres services.
Détails de l’incident
L’équipe de développement de Polymarket a publié une déclaration le 22 mai 2026, abordant les signalements de sécurité : « Les constatations pointent vers une compromission de clé privée d’un portefeuille utilisé pour les opérations de top-up internes, et non vers des contrats ou l’infrastructure principale. » La déclaration a souligné que les fonds des utilisateurs et la résolution du marché n’ont pas été affectés par l’incident.
L’analyse de Bubblemaps, publiée plus d’une heure après la divulgation initiale, a fourni une évaluation plus détaillée de la brèche. La plateforme a indiqué qu’environ 700 000 dollars de fonds avaient été exploités et distribués sur 16 adresses, les actifs volés ayant ensuite été acheminés via des échanges centralisés et d’autres services financiers.
Le portefeuille impliqué dans l’incident servait aux paiements de récompenses, distinct des contrats principaux qui gèrent les fonds des utilisateurs et déterminent les résultats de marché. Les marchés de prédiction sur Polymarket fonctionnent via des contrats qui enregistrent les paris et versent les gains après qu’un service externe confirme le résultat.
Évaluation technique et analyse d’experts
Le cofondateur de BlockSec, Andy Yajin Zhou, professeur associé à l’University of Hong Kong, a déclaré à Decrypt que l’examen initial de son cabinet correspondait au récit de l’incident par Polymarket. « D’après notre analyse initiale, il ne semble pas s’agir d’une faille dans la logique du contrat d’adaptateur ou dans l’infrastructure du marché de prédiction elle-même », a déclaré Zhou. « À ce stade, nous n’avons pas identifié de preuves suggérant un exploit au niveau du protocole, une manipulation d’oracle, ou une vulnérabilité généralisée dans l’infrastructure de marché basée sur des adaptateurs. »
Zhou a souligné que l’incident reflétait des risques de sécurité opérationnelle, notamment la gestion des clés, le contrôle d’accès, les politiques de signature, la surveillance et d’autres garde-fous entourant les portefeuilles utilisés pour des opérations courantes.
La société de sécurité blockchain Cyvers est parvenue à une conclusion similaire, déterminant que l’incident avait affecté des portefeuilles opérationnels ou d’administration plutôt que les contrats principaux de Polymarket ou les systèmes de règlement de marché. Hakan Unal, responsable principal des opérations de sécurité chez Cyvers, a déclaré à Decrypt : « Même lorsque les protocoles de marché de prédiction sont sécurisés au niveau des smart contracts, les portefeuilles d’adaptateurs ou d’admin privilégiés restent une surface d’attaque critique si la gestion des clés ou la sécurité opérationnelle est compromise. »
La sécurité opérationnelle comme risque sectoriel
Dan Dadybayo, responsable stratégie du développeur d’infrastructure crypto Horizontal Systems, a décrit l’incident comme faisant partie d’un changement plus large dans la manière dont les attaquants ciblent les projets de cryptomonnaie. « Cela ressemble de plus en plus à un problème de gestion des clés plutôt qu’à un exploit de smart contract », a déclaré Dadybayo à Decrypt. « Le changement intéressant observé dans le secteur crypto, c’est que les attaquants ne cassent plus principalement les protocoles. Ils ciblent les couches opérationnelles autour d’eux : portefeuilles d’admin, permissions et infrastructure. »
L’incident met en évidence la distinction entre la sécurité au niveau du protocole et la sécurité de l’infrastructure opérationnelle au sein des plateformes de marchés de prédiction.
