Polymarket хакери викрали $3 млн у користувачів на Polygon 2026
Зловмисники вкрали близько $3,1 млн у PUSD у користувачів платформи Polymarket через фішингову атаку та механізм EIP-7702. Платформа пообіцяла компенсації постраждалим
Платформа для прогнозних ставок Polymarket зазнала значної кібератаки. Зловмисники виконали фішингову атаку за допомогою шкідливого механізму делегованого виконання EIP-7702, внаслідок якої користувачі втратили приблизно $3,1 млн у PUSD (стейблкоїн у мережі Polygon). Про інцидент повідомили аналітичні сервіси AMLBot та PeckShield 27 червня 2026 року.
Як розвивалась кібератака на Polymarket
Після успішного проведення фішингової атаки злочинці запустили ланцюжок операцій, щоб замаскувати походження викрадених коштів. Вони конвертували PUSD у USDC.e через Relay — найбільш розповсюджений міст для обміну активів. Потім грошові кошти були перемістені з блокчейна Polygon на Ethereum, обмінені на Ether і зібрані в нових, спеціально створених гаманцях для відмивання.
Згідно з даними AMLBot, на трьох новостворених адресах наразі утримується близько 1891,9 ETH (Ethereum). Найбільша з цих адрес контролює приблизно 1788,5 ETH, що становить переважну більшість викрадених активів.
Що таке механізм EIP-7702 і чому він став уразливістю
EIP-7702 — це функція делегованого виконання в блокчейні, яка дозволяє користувачам передавати права на виконання операцій контрактам третіх сторін. Хакери використали цей механізм для створення фішингових схем, спонукаючи користувачів підписувати шкідливі операції, які здавалися легітимними. Цей вектор атаки демонструє, як навіть розширені функції безпеки можуть стати потенційною лінією уразливості, якщо користувачі недостатньо контролюють, яким контрактам вони надають дозвіл.
Плани компенсації від платформи
Polymarket уже оголосила про намір компенсувати постраждалих користувачів за втрачені активи. Проте точний механізм компенсації, терміни та розмір відшкодування ще не оголошені. Очікується, що платформа надасть детальнішу інформацію в найближчі дні.
Цей інцидент переважно стосується користувачів, які мають токени PUSD у мережі Polygon і брали участь у прогнозних ставках на платформі Polymarket.
Що таке Polymarket і чому це важливо?
Polymarket — це децентралізована платформа для прогнозних ставок, де користувачи можуть торгувати контрактами на результати реальних подій. Платформа працює на блокчейні Polygon для мінімізації комісій. Хакерські атаки на такі платформи загрожують безпеці активів користувачів.
Як захиститись від фішингових атак на блокчейні?
Користувачам слід обережно перевіряти адреси, на які вони надають дозволи (approvals) та права на делегування. Важливо не клікати на підозрілі посилання, перевіряти URL платформи безпосередньо в браузері та використовувати апаратні гаманці для зберігання значних сум коштів.
Як зловмисники замаскували викрадені кошти?
Вони використали стратегію маршрутизації: конвертували PUSD у USDC.e, перемістили активи з Polygon на Ethereum через міст, обмінили на Ether та зібрали їх на новостворених адресах. Така схема затруднює відстеження походження коштів.
Чи повертатимуть користувачам Polymarket викрадені кошти?
Платформа пообіцяла компенсації, але точна схема, розміри та терміни відшкодування ще не оголошені. Користувачам рекомендується слідкувати за офіційними оголошеннями Polymarket та не довіряти сторонним пропозиціям щодо повернення коштів.