Polymarket confirme qu'un piratage de clé privée vieux de 6 ans entraîne une perte de 700 000 $
Polymarket, la plus grande plate-forme de marché de prédiction basée sur le Web3, a signalé une compromission de sa clé privée interne vieille de 6 ans utilisée pour les recharges et les récompenses le 22 mai 2026. Au moment de mettre sous presse, Polymarket avait perdu environ 700 000 $, drainés via le réseau Polygon (POL), selon les métriques en chaîne de Polygonscan analysées par Finbold. Les fonds volés ont été répartis sur 16 adresses et acheminés via plusieurs échanges cryptographiques, notamment HTX, KuCoin et ChangeNow. L'incident a été signalé pour la première fois par ZachXBT, un détective en chaîne, qui a sonné l'alarme selon laquelle le contrat d'adaptateur CTF (Conditional Token Framework) d'accès universel au marché (UMA) de Polymarket sur Polygon était probablement exploité. Cependant, Josh Stevens, vice-président de l'ingénierie de Polymarket, a confirmé qu'aucun contrat interne n'avait été exploité, mais plutôt une ancienne clé privée. En tant que tel, Stevens a déclaré que les fonds des utilisateurs restent en sécurité et que la plateforme peut être utilisée comme d'habitude. "C'était dans la configuration de recharge interne, c'est pourquoi des fonds y étaient envoyés. Nous avons fait pivoter cette clé, révoqué toutes les autorisations de production et déplaçons désormais tous les PK vers les clés KMS", a noté Stevens. L’attaque réussie contre Polymarket, qui a réussi pour la première fois à siphonner des fonds, a suscité des inquiétudes parmi les utilisateurs. De plus, Polymarket est largement utilisé par les robots de trading automatisés, ce qui pourrait entraîner des pertes de fonds importantes si les contrats étaient compromis. De plus, le risque de sécurité notable pourrait constituer un avantage avantageux pour ses concurrents, menés par la plateforme de prédiction Kalshi. En outre, cette plate-forme a rassemblé une base d'utilisateurs importante dans un passé récent en raison de sa profonde liquidité en chaîne soutenue par des investisseurs institutionnels. Cependant, la gravité de la récente attaque pourrait être minime, car aucun fonds utilisateur n'a été volé.