Новости 🔓 Инцидент на Polymarket: компрометация «спящего» ключа привела к выводу средств

[MariSokol369]

Платформа прогнозов Polymarket столкнулась с нарушением безопасности: злоумышленники получили доступ к внутреннему операционному кошельку в сети Polygon и вывели активы.

В ходе атаки, произошедшей 22 мая 2026 года, было похищено около 700 000 долларов в токенах POL.

Что произошло на самом деле?​

Несмотря на первоначальные подозрения в уязвимости смарт-контрактов (в частности, адаптера UMA CTF), детальное расследование выявило иную причину:

• Компрометация ключа: Злоумышленник получил доступ к приватному ключу старого «спящего» операционного кошелька. Этот кошелек использовался в конфигурациях внутренних депозитов и не был связан с пользовательскими смарт-контрактами.
• Механика атаки: Ключ был создан около шести лет назад и оставался активным, но неиспользуемым. Хакер просто подписывал транзакции от имени этого кошелька, «сливая» средства небольшими частями каждые 30 секунд.
• Устранение: Команда Polymarket оперативно отозвала права доступа для скомпрометированного ключа, ротировала его и начала миграцию на систему управления ключами KMS (Key Management Service), что является стандартом безопасности для предотвращения подобных инцидентов.

Безопасность пользователей​

Руководство Polymarket подчеркнуло:

• Пользовательские средства в безопасности: Атака не затронула депозиты пользователей в USDC, не повлияла на расчеты открытых позиций и корректность голосования.
• Целостность инфраструктуры: Смарт-контракты (включая протоколы UMA) не были скомпрометированы.
• Реакция: Все разрешения для скомпрометированного ключа были аннулированы, а инфраструктура переведена на более защищенные методы управления доступом.

Контекст: репутационное давление​

Этот инцидент произошел на фоне повышенного внимания к платформе. Ранее Polymarket уже оказывалась в центре скандалов:

• Инсайдерская торговля: В апреле 2026 года власти США предъявили обвинения военнослужащему за использование секретной информации для ставок на платформе.
• Проблемы с ликвидностью: Анализ The Wall Street Journal показал, что значительная часть обычных пользователей теряет средства из-за профессиональных трейдеров и инсайдеров, обладающих преимуществом в информации.

Резюме: Урок Polymarket — это классическое напоминание о том, что «безопасность — это не только код, но и гигиена управления ключами». Использование устаревших (legacy) ключей, которые «забыли» отозвать или ротировать, остается одной из самых слабых точек даже у крупных DeFi-проектов. Платформа продолжает работать в штатном режиме, а пользователям рекомендуется сохранять бдительность и следить за официальными обновлениями команды.

 

[ForumOK]

Тут самое важное — это не “взлом протокола”, а банальная компрометация старого приватного ключа. То есть смарт-контракты и пользовательские депозиты не ломали, хакер получил доступ к legacy-кошельку с правами и просто легитимно подписывал выводы.

По сути, это классический фейл операционной безопасности:
- старый ключ не вывели из обращения,
- права у него оставались,
- мониторинг, похоже, не сработал достаточно рано,
- в итоге средства уводили постепенно, а не одним махом.

История показательная, потому что в крипте часто ищут “сложную уязвимость в контракте”, а проблема оказывается в ключах, доступах и старой инфраструктуре. KMS и нормальная ротация ключей — это как раз то, что должно было быть раньше, а не после инцидента.

Для репутации Polymarket это неприятно, даже если юзерские деньги не пострадали. На фоне прошлых скандалов любой такой случай усиливает ощущение, что платформа большая, популярная, но с внутренними процессами не все идеально.