Une vulnérabilité de certification tierce partie a entraîné la disparition des fonds des utilisateurs de Polymarket, exposant les risques liés à l'infrastructure d'authentification Web3

Événement : Perte de la couche de certification, plusieurs millions de fonds volés

Le 24 décembre 2025, Polymarket a confirmé une attaque massive sur ses comptes. La cause n’était pas une attaque sur le contrat intelligent, mais une faille de sécurité introduite par un fournisseur de services d’authentification tiers. De nombreux utilisateurs ont signalé que leur solde a été transféré sans autorisation, certains ayant vu leur position en USDC être instantanément vidée et clôturée automatiquement.

L’incident a été initialement révélé le 22 décembre 2025 sur X, Reddit et Discord. Des utilisateurs se plaignaient que, après plusieurs tentatives de connexion, leurs fonds avaient mystérieusement disparu. Un victime a indiqué que son solde est passé de normal à 0,01$, tandis qu’un autre a signalé qu’en activant la double authentification par email, cela n’a pas empêché le vol.

La certification tierce devient un point faible dans l’écosystème crypto

Polymarket n’a pas divulgué le nom du fournisseur tiers impliqué ni le montant total des fonds volés, mais les rapports des utilisateurs pointent vers des solutions courantes comme Magic Labs pour la connexion par email. La société a indiqué sur son canal Discord avoir identifié et corrigé le problème, et que le risque est désormais écarté. Cependant, la déclaration selon laquelle il s’agirait d’un « incident isolé » « n’affectant qu’un petit nombre d’utilisateurs » suscite des doutes.

La question clé est : pour faciliter l’adoption rapide par les utilisateurs, de nombreuses plateformes DeFi dépendent de services tiers d’authentification, de portefeuilles et de systèmes de connexion. Lorsqu’une faille de sécurité d’un fournisseur est exploitée, cela peut entraîner une réaction en chaîne affectant plusieurs applications de l’écosystème. Cette architecture transfère le risque potentiel du contrat intelligent à la couche d’authentification — une faiblesse souvent ignorée mais tout aussi critique.

Le danger caché de la connexion par email et portefeuille

La méthode de connexion par « magic link » basée sur email est très populaire pour sa simplicité. La plateforme crée un portefeuille Ethereum non custodial pour l’utilisateur lors de l’inscription, ce qui réduit la barrière d’entrée pour les débutants en crypto. Mais cela a un coût : le fournisseur contrôle toujours le mécanisme de récupération de connexion.

Les utilisateurs victimes ont affirmé n’avoir cliqué sur aucun lien suspect, mais leurs fonds ont été volés. Cela indique que l’attaque ne s’est pas faite par phishing traditionnel, mais via une faille dans le backend du service d’authentification tiers. Une fois cette barrière franchie, l’attaquant peut simuler l’identité d’un utilisateur légitime, autoriser des transferts ou des liquidations de positions — sans intervention de l’utilisateur.

Leçons historiques : la répétition des risques structurels

Ce n’est pas un cas isolé. En septembre 2024, Polymarket avait déjà été victime d’une attaque similaire impliquant la méthode de connexion Google. L’attaquant avait utilisé une fonction « proxy » pour transférer des USDC vers une adresse de phishing, ce que Polymarket avait qualifié d’attaque ciblée liée à l’authentification tierce.

En novembre 2025, une escroquerie dans la section des commentaires a également impacté la plateforme. Des fraudeurs ont posté des liens frauduleux incitant les utilisateurs à entrer leurs identifiants email, entraînant une perte de plus de 500 000$. Ces incidents montrent tous que l’authentification et la gestion des sessions sont devenues des cibles de grande valeur pour les attaques, et que la défense de la plateforme est insuffisante.

Réflexion approfondie : le coût de la dépendance aux tiers

Polymarket n’a pas encore publié d’analyse technique post-incident ni de chronologie complète. Aucun plan de compensation n’a été annoncé. Les utilisateurs affectés se tournent vers des connexions directes via portefeuille (comme MetaMask), bien que cela soit moins convivial pour les débutants.

Cet incident met en lumière une vérité douloureuse dans l’écosystème crypto : pour améliorer l’expérience utilisateur, les protocoles dépendent de plus en plus de services tiers — qui devraient être des outils auxiliaires, mais deviennent progressivement des points de défaillance unique du système. Lorsqu’une de ces voies critiques est compromise, même le contrat intelligent le plus parfait ne peut protéger les fonds des utilisateurs.

Pour l’ensemble du secteur, la menace des vulnérabilités dans les services tiers est aussi sérieuse que celle des failles dans les protocoles. Polymarket doit non seulement appliquer des correctifs techniques, mais aussi réévaluer en profondeur sa chaîne de dépendance écologique, en s’assurant que les standards de sécurité de ses fournisseurs tiers correspondent à ses propres exigences.