Платформа прогнозов Polymarket столкнулась с масштабной фишинговой атакой, в результате которой пользователи потеряли почти $2,94 миллиона. По данным ончейн-аналитика Specter, средства были украдены примерно у 11 аккаунтов: хранившиеся в стейблкоинах PUSD активы конвертировали в ETH и перевели на конечный адрес. Число жертв может возрасти по мере продолжения расследования.
Это не первый подобный инцидент. Polymarket регулярно подвергается фишинговым и социотехническим атакам с прошлого года. В начале июня вице-президент по разработке Джош Стивенс раскрыл случай, когда пользователь потерял более $2 млн, введя одноразовый пароль на поддельном сайте, имитировавшем интерфейс платформы. Злоумышленник скомпрометировал кошелёк Magic Link и мгновенно вывел средства. Стивенс подчеркнул, что взлом произошёл на фальшивом сайте, а не из-за уязвимости самой платформы.
Этому предшествовала утечка $520 000 из контракта UMA CTF Adapter на Polygon в мае, вызванная компрометацией ключа развёртывания, как установил ZachXBT. Опасения усиливаются на фоне спекуляций вокруг возможного аирдропа токена POLY. 25 июня пользователь Tiptop заметил, что Polymarket обновила страницу FAQ, удалив формулировку об отсутствии токена и планов на аирдроп. Ранее, в октябре 2025 года, директор по маркетингу Мэттью Модаббер подтвердил планы по созданию токена «с реальной полезностью и долгосрочной ценностью», что породило волну активности пользователей, надеющихся претендовать на раздачу. Это привлекает мошенников, создающих поддельные сайты для проверки права на аирдроп и фишинговые страницы.
Помимо прямых атак, платформа сталкивается с репутационными проблемами. SlowMist обнаружила на GitHub бота для копитрейдинга Polymarket со встроенным вредоносным кодом, а StepSecurity выявила скомпрометированную организацию, распространявшую фальшивые торговые боты. Расследование Wall Street Journal показало, что Polymarket платила инфлюенсерам $2–3 тыс. в месяц за публикацию постановочных видео с фальшивой прибылью от торгов, требуя скрывать факт оплаты. В сочетании с фишингом это подрывает доверие к безопасности платформы, открытый интерес на которой недавно достиг рекордных $1,48 млрд по данным a16z Crypto.
Инцидент подчёркивает растущую угрозу фишинга для пользователей криптоплатформ, особенно в условиях ажиотажа вокруг аирдропов. Эксперты рекомендуют проверять разрешения токенов и избегать подозрительных запросов на подпись.
