Вступ
14 червня 2026 року Polymarket підтвердив внутрішній злом гаманця, який впливав на систему операційних винагород платформи. Інцидент, який уперше відзначила компанія з ончейн-аналітики Bubblemaps, стосувався підозрілих автоматизованих переказів із гаманця, пов’язаного з розподілом винагород. Polymarket пояснив, що кошти користувачів залишаються в безпеці, пов’язавши інцидент із компрометацією приватного ключа, а не з будь-яким недоліком у базових смартконтрактах платформи. Різниця є критичною: уразливість смартконтракту поставила б під загрозу кожен долар на платформі, тоді як компрометація операційного гаманця — це локалізована проблема. Інцидент показує, як сучасні ринки прогнозів справляються з безпековими збоями та як архітектурні рішення обмежують шкоду під час злому.
Виявлення: сповіщення Bubblemaps і автоматизовані відтоки
Перший публічний сигнал надійшов від Bubblemaps — ончейн-інструменту візуалізації, який відстежує кластери гаманців і потоки токенів у кількох мережах. Їхня автоматизована система сповіщень виявила патерн відтоків з відомої адреси, пов’язаної з Polymarket, у мережі Polygon, що одразу викликало пильну увагу з боку ширшої спільноти з безпеки криптовалют.
За лічені години незалежні дослідники підтвердили знахідку. Гаманець було системно спорожнено серією ідентичних транзакцій: кожна переказувала фіксовану кількість токенів POL із регулярними інтервалами. Механічна точність переказів вказувала на автоматизоване виконання.
Розпізнавання патернів: повторювані перекази на 5 000 POL
Зловмисник виконував перекази рівно по 5 000 POL приблизно кожні 12 хвилин протягом кількох годин. Такий «потоковий» витяг розподіляє крадіжку по десятках менших транзакцій, а не по одній великій транзакції, яка одразу спрацювала б як сигнал тривоги.
На момент, коли Bubblemaps підняв тривогу, приблизно 230 000 POL (на той час це було близько $115 000) уже вийшло з гаманця. Однорідність сум і часу сильно вказувала на те, що вилучення здійснював скрипт або бот.
Відстеження адреси зловмисника в мережі Polygon
Ончейн-дослідники швидко простежили адресу отримувача. У адреси зловмисника не було жодної попередньої історії транзакцій до інциденту — це типовий для щойно створених гаманців, які використовують для експлойтів. Слідчі з блокчейн-форензики, зокрема Chainalysis і Arkham Intelligence, почали позначати пов’язані адреси протягом 24 годин.
Офіційна заява Polymarket: компрометація внутрішнього гаманця
Відповідь Polymarket надійшла приблизно через шість годин після сповіщення Bubblemaps. Платформа опублікувала заяву в X (колишній Twitter) та на своєму офіційному блозі, підтвердивши інцидент. У заяві прямо зазначалося, що не зазнали впливу баланси користувачів, ринкові позиції або механізми врегулювання. Polymarket назвав інцидент «компрометацією приватного ключа внутрішнього операційного гаманця».
Витік приватного ключа проти уразливості смартконтракту
Уразливість смартконтракту означає, що код, який керує ключовими функціями платформи, має недолік, яким нападник може скористатися. Компрометація приватного ключа означає, що хтось отримав доступ до криптографічного ключа, який контролює конкретний гаманець. Смартконтракти платформи працювали рівно так, як було задумано; проблема була в тому, що неавторизована сторона отримала облікові дані до однієї конкретної адреси.
Найостанніший аудит смартконтрактів Polymarket, проведений Trail of Bits на початку 2026 року, не виявив критичних уразливостей. Ці результати аудиту підтверджують цілісність коду, який керує коштами користувачів.
Роль операційного гаманця в виплатах винагород
Компрометований гаманець виконував конкретну функцію: розподіляв винагороди з майнінгу ліквідності та промо-стимули активним трейдерам. Він містив токени POL, виділені для цих програм, а не USDC чи інші стейблкоїни, що використовуються для ринкових позицій.
Цей гаманець працював як hot wallet, тобто його приватний ключ зберігався в спосіб, що дозволяв автоматизовані й часті транзакції. Hot wallets забезпечують швидкість і автоматизацію, але несуть вищий ризик, оскільки їхні ключі доступні онлайн-системам.
Оцінка впливу та запевнення в безпеці користувачів
Фінансові збитки від цього інциденту були відносно обмеженими. Приблизно $115 000 викрадених POL становлять невелику частку від загальної вартості, заблокованої на Polymarket, яка перевищувала $480 мільйонів на момент злому. Щоденний обсяг торгів платформи не постраждав, а жодні ринки не були зупинені чи порушені.
Ізоляція депозитів користувачів і рішень ринків
Кошти користувачів на Polymarket зберігаються в смартконтрактах у мережі Polygon, керованих кодом протоколу, а не будь-яким одним приватним ключем. Депозити, зняття коштів і врегулювання ринків виконуються через ці контракти. Компрометований операційний гаманець не мав повноважень над цими функціями.
Операційний гаманець міг лише надсилати POL для винагород; він не міг взаємодіяти з балансами користувачів, змінювати параметри ринків або ініціювати врегулювання.
Поточний статус операцій платформи та ліквідності
Станом на час написання Polymarket повністю працює. Розподіл винагород було тимчасово призупинено, поки команда ротувала ключі та розгорнула замінний гаманець. Платформа підтвердила, що невиплачені винагороди, які належать користувачам, будуть надані з окремого казначейського розподілу.
Ліквідність на основних ринках, включно з американськими політичними ринками прогнозів і глобальними контрактами подій, залишалася стабільною. Протягом 48 годин після розкриття не сталося помітного сплеску зняття коштів.
Безпекові наслідки для децентралізованих ринків прогнозів
Цей злом піднімає питання про те, як ринки прогнозів керують напруженістю між децентралізацією та операційною зручністю. Polymarket працює як гібрид: ядро ринкової механіки працює на смартконтрактах, але допоміжні функції спираються на більш традиційну, централізовану інфраструктуру.
Ризики централізованих операційних гаманців
Будь-який гаманець, який контролюється одним приватним ключем, є мішенню. Типові вектори атак включають компрометацію машин розробників або хмарних середовищ, де зберігаються ключі, фішингові атаки, спрямовані на членів команди з доступом до гаманців, внутрішні загрози та атаки на ланцюг постачання на програмне забезпечення для керування ключами.
Інцидент Polymarket ще не прив’язали до конкретного вектора, хоча платформа заявила, що розслідування триває за допомогою зовнішніх компаній з безпеки.
Найкращі практики для зменшення ризику від доступу до hot wallet
Кілька практик можуть зменшити ризик і наслідки компрометації hot wallet:
- Використовувати multisig-гаманці для будь-якої адреси, що тримає значну вартість, навіть операційної
- Запровадити ліміти витрат, які обмежують суму, яку може переказати одна транзакція або період часу
- Ротувати ключі за регулярним графіком і після будь-яких змін у персоналі
- Зберігати ключі hot wallet у модулях апаратної безпеки, а не в програмних рішеннях
- У реальному часі відстежувати відтоки за допомогою автоматизованих сповіщень, налаштованих на виявлення аномальних патернів
Polymarket вказав, що впровадить кілька з цих заходів для замінного операційного гаманця, включно з вимогами multisig і лімітами витрат на рівні кожної транзакції.
Постійний моніторинг і майбутні кроки з відновлення
Polymarket пообіцяв опублікувати повний постмортем упродовж 30 днів, включно з першопричиною витоку ключа, детальною хронологією та конкретними кроками з виправлення, які впроваджуються.
Відповідь платформи була переважно прозорою, що формує позитивний прецедент. Оскільки платформи на кшталт Polymarket і Kalshi конкурують за частку ринку, інциденти з безпеки дедалі більше впливатимуть на довіру користувачів і регуляторне сприйняття. Злом, який добре опрацювали — з швидким розкриттям, чіткою комунікацією та підтвердженим стримуванням — може посилити довіру до платформи.
