Polymarket Conferma un Hack del Wallet Interno – I Fondi degli Utenti Rimangono Sicuri

Il 14 giugno 2026, Polymarket ha confermato un hack di un wallet interno che ha scosso la comunità dei mercati predittivi. La violazione, segnalata per la prima volta dalla società di analisi on-chain Bubblemaps, ha coinvolto una serie di trasferimenti automatizzati sospetti da un wallet operativo legato al sistema di ricompense della piattaforma. Polymarket ha agito rapidamente per chiarire che i fondi degli utenti rimangono al sicuro, attribuendo l’incidente a una compromissione della chiave privata piuttosto che a un difetto nei contratti intelligenti fondamentali della piattaforma. La distinzione è di grande importanza: una vulnerabilità del contratto intelligente avrebbe minacciato ogni dollaro sulla piattaforma, mentre un wallet operativo compromesso, sebbene serio, rappresenta un problema contenuto. Per chi osserva l’evoluzione delle minacce alla cybersecurity delle piattaforme di finanza decentralizzata in tempo reale, questo incidente offre un utile caso studio su come i moderni mercati predittivi gestiscono i fallimenti di sicurezza, cosa è andato bene e cosa deve ancora essere sistemato.

La Scoperta: Allerta di Bubblemaps e Flussi Automatizzati

Il primo segnale pubblico non è arrivato da Polymarket stesso, ma da Bubblemaps, uno strumento di visualizzazione on-chain che monitora i cluster di wallet e i flussi di token attraverso più reti. Il loro sistema di allerta automatizzato ha segnalato un modello di flussi da un indirizzo noto associato a Polymarket sulla rete Polygon, scatenando un immediato scrutinio da parte della comunità della sicurezza crittografica più ampia.

Nel giro di poche ore, ricercatori indipendenti hanno corroborato il risultato. Il wallet in questione era stato sistematicamente svuotato attraverso una serie di transazioni identiche, ognuna delle quali trasferiva un importo fisso di token POL a intervalli regolari. La precisione meccanica dei trasferimenti era un chiaro indizio: nessun operatore umano muove fondi in un modello così rigido e ripetitivo.

Riconoscimento del Modello: Trasferimenti Ricorrenti di 5.000 POL

L’attaccante ha eseguito trasferimenti di esattamente 5.000 POL circa ogni 12 minuti per un periodo di diverse ore. Questo tipo di estrazione a goccia è una tattica comune. Piuttosto che svuotare un wallet in un’unica grande transazione che avrebbe immediatamente attivato allerta e potenzialmente sarebbe stata anticipata o congelata, l’attaccante ha distribuito il furto su dozzine di transazioni più piccole.

Quando Bubblemaps ha lanciato l’allerta, circa 230.000 POL (del valore di circa 115.000 USD all’epoca) erano già usciti dal wallet. L’uniformità degli importi e dei tempi suggeriva fortemente un script o un bot che gestiva l’estrazione, non prelievi manuali.

Tracciamento dell’Indirizzo dell’Attaccante sulla Rete Polygon

Gli investigatori on-chain hanno rapidamente tracciato l’indirizzo di ricezione. L’indirizzo dell’attaccante non aveva alcuna storia di transazioni precedenti all’incidente, il che è tipico per i wallet appena generati utilizzati per exploit. La trasparenza di Polygon significava che ogni passaggio era visibile pubblicamente, ma la velocità dell’estrazione e la successiva offuscamento rendevano difficile un intervento in tempo reale. Aziende di forensic blockchain come Chainalysis e Arkham Intelligence hanno iniziato a etichettare gli indirizzi associati entro 24 ore.

Dichiarazione Ufficiale di Polymarket: Compromissione del Wallet Interno

La risposta di Polymarket è arrivata circa sei ore dopo l’allerta di Bubblemaps. La piattaforma ha pubblicato una dichiarazione su X (ex Twitter) e sul loro blog ufficiale confermando la violazione e fornendo dettagli iniziali. La dichiarazione ha esplicitamente notato che nessun saldo utente, posizione di mercato o meccanismo di risoluzione è stato influenzato. Polymarket ha descritto l’incidente come una “compromissione della chiave privata di un wallet operativo interno”, tracciando una chiara linea tra questa violazione e qualsiasi vulnerabilità sistemica nell’architettura della piattaforma.

Fuga della Chiave Privata vs. Vulnerabilità del Contratto Intelligente

Questa distinzione è critica e vale la pena comprenderla chiaramente. Una vulnerabilità del contratto intelligente significa che il codice che governa le funzioni fondamentali della piattaforma (depositi, prelievi, creazione di mercati, risoluzione) ha un difetto che un attaccante può sfruttare. Quel tipo di bug può svuotare interi protocolli. Lo abbiamo visto con l’hack di Euler Finance nel 2023 e l’exploit di Mango Markets nel 2022.

Una compromissione della chiave privata è fondamentalmente diversa. Significa che qualcuno ha ottenuto accesso alla chiave crittografica che controlla un wallet specifico. I contratti intelligenti della piattaforma hanno funzionato esattamente come progettato; il problema era che una parte non autorizzata ha ottenuto le credenziali per un particolare indirizzo. Pensalo come qualcuno che ruba la chiave dell’ufficio di un direttore di banca rispetto a trovare un difetto nel meccanismo di chiusura della cassaforte. Entrambi sono cattivi, ma il raggio d’azione differisce enormemente.

L’ultimo audit del contratto intelligente di Polymarket, condotto da Trail of Bits all’inizio del 2026, non ha trovato vulnerabilità critiche. I risultati di questo audit rimangono rilevanti qui perché confermano l’integrità del codice che governa effettivamente i fondi degli utenti.

Il Ruolo del Wallet Operativo nei Pagamenti delle Ricompense

Il wallet compromesso serviva a una funzione specifica: distribuire ricompense di mining di liquidità e incentivi promozionali ai trader attivi. Conteneva token POL destinati a questi programmi, non USDC o altri stablecoin utilizzati per le posizioni di mercato.

Questo wallet operava come un hot wallet, il che significa che la sua chiave privata era memorizzata in un modo che consentiva transazioni automatizzate e frequenti. I compromessi di sicurezza tra hot wallet e cold storage sono ben compresi nel settore: gli hot wallet consentono velocità e automazione ma comportano un rischio maggiore perché le loro chiavi sono accessibili a sistemi online. Il cold storage è molto più sicuro ma impraticabile per pagamenti automatizzati ad alta frequenza. La necessità operativa del design di questo wallet è esattamente ciò che lo ha reso vulnerabile.

Valutazione dell’Impatto e Garanzia della Sicurezza degli Utenti

Il danno finanziario derivante da questo incidente è stato relativamente contenuto. I circa 115.000 USD in POL rubati rappresentano una piccola frazione del valore totale bloccato di Polymarket, che superava i 480 milioni di USD al momento della violazione. Il volume di scambio giornaliero della piattaforma non è stato influenzato e nessun mercato è stato sospeso o interrotto.

L’architettura di Polymarket ha svolto un ruolo significativo nel limitare il danno. La piattaforma separa i wallet operativi dall’infrastruttura del contratto intelligente che detiene i depositi degli utenti e gestisce i risultati di mercato. Questa compartimentazione è una scelta di design deliberata e ha dato i suoi frutti qui.

Isolamento dei Depositi degli Utenti e delle Risoluzioni di Mercato

I fondi degli utenti su Polymarket sono detenuti all’interno di contratti intelligenti su Polygon, controllati dal codice del protocollo piuttosto che da una singola chiave privata. I depositi, i prelievi e le risoluzioni di mercato vengono tutti eseguiti tramite questi contratti. Il wallet operativo compromesso non aveva autorità su queste funzioni.

Questa separazione segue un principio che i protocolli DeFi maturi hanno adottato sempre di più: minimizzare il numero di wallet con ampie autorizzazioni. Il wallet operativo poteva solo inviare POL per le ricompense; non poteva interagire con i saldi degli utenti, modificare i parametri di mercato o attivare risoluzioni. Anche se l’attaccante avesse voluto manipolare i mercati, questo wallet semplicemente non aveva le autorizzazioni per farlo.

Stato Attuale delle Operazioni della Piattaforma e della Liquidità

Al momento della scrittura, Polymarket è pienamente operativo. Le distribuzioni delle ricompense sono state temporaneamente sospese mentre il team ruotava le chiavi e implementava un wallet sostitutivo. La piattaforma ha confermato che le ricompense in sospeso dovute agli utenti saranno onorate da un’allocazione di tesoreria separata.

La liquidità attraverso i principali mercati, inclusi i mercati predittivi politici statunitensi e i contratti per eventi globali, è rimasta stabile. Non si è verificato alcun picco significativo nei prelievi nelle 48 ore successive alla divulgazione, suggerendo che la comunità ha in gran parte accettato la spiegazione di Polymarket e la natura contenuta della violazione.

Implicazioni di Sicurezza per i Mercati Predittivi Decentralizzati

Questo hack solleva domande più ampie su come i mercati predittivi, e le piattaforme DeFi in generale, gestiscono la tensione tra decentralizzazione e convenienza operativa. Polymarket opera come un ibrido: le sue meccaniche di mercato fondamentali funzionano su contratti intelligenti, ma varie funzioni di supporto (ricompense, analisi, supporto clienti) si basano su infrastrutture più tradizionali e centralizzate.

Questo modello ibrido è comune in DeFi nel 2026. Operazioni completamente decentralizzate rimangono impraticabili per le piattaforme che devono integrare utenti mainstream, rispettare regolamenti come il MiCA in Europa e mantenere esperienze utente competitive. Il compromesso è che i componenti centralizzati introducono punti di fallimento centralizzati.

Rischi dei Wallet Operativi Centralizzati

Qualsiasi wallet controllato da una singola chiave privata è un obiettivo. I protocolli di sicurezza del mercato predittivo che governano i contratti intelligenti a disposizione degli utenti non si estendono a questi wallet operativi a meno che il team non li progetti esplicitamente. I vettori di attacco comuni includono:

• Macchine di sviluppo compromesse o ambienti cloud dove sono memorizzate le chiavi
• Attacchi di phishing mirati ai membri del team con accesso ai wallet
• Minacce interne da parte di dipendenti attuali o precedenti
• Attacchi alla catena di fornitura su software di gestione delle chiavi

L’incidente di Polymarket non è stato ancora attribuito a un vettore specifico, sebbene la piattaforma abbia dichiarato che è in corso un’indagine con l’assistenza di aziende di sicurezza esterne.

Migliori Pratiche per Mitigare l’Esposizione degli Hot Wallet

Diverse pratiche possono ridurre il rischio e l’impatto delle compromissioni degli hot wallet:

• Utilizzare wallet multisig per qualsiasi indirizzo che detenga un valore significativo, anche quelli operativi
• Implementare limiti di spesa che fissino l’importo che qualsiasi singola transazione o periodo di tempo può muovere
• Ruotare le chiavi su una base regolare e dopo qualsiasi cambiamento di personale
• Memorizzare le chiavi degli hot wallet in moduli di sicurezza hardware piuttosto che in soluzioni software
• Monitorare i flussi in tempo reale con avvisi automatici calibrati per rilevare modelli anomali

Polymarket ha indicato che adotterà diverse di queste misure per il suo wallet operativo sostitutivo, inclusi requisiti multisig e limiti di spesa per transazione.

Monitoraggio Continuo e Futuri Passi di Rimedio

La risposta di Polymarket a questa compromissione della chiave privata del wallet è stata in gran parte trasparente, il che stabilisce un precedente positivo. La piattaforma si è impegnata a pubblicare un’analisi completa entro 30 giorni, inclusa la causa principale della fuga di chiavi, una cronologia dettagliata e i specifici passi di rimedio che vengono implementati.

L’ecosistema più ampio dei mercati predittivi dovrebbe prendere nota. Man mano che piattaforme come Polymarket, Kalshi e nuovi entranti competono per la quota di mercato, gli incidenti di sicurezza plasmeranno sempre di più la fiducia degli utenti e la percezione normativa. Una violazione gestita bene, con divulgazione rapida, comunicazione chiara e contenimento dimostrabile, può effettivamente rafforzare la credibilità di una piattaforma. Una violazione gestita male, con ritardi, offuscamenti o perdite per gli utenti, può essere fatale.

Per gli utenti, il messaggio è chiaro: comprendere dove si trovano effettivamente i propri fondi. Se sono in un contratto intelligente con codice auditato e senza accesso amministrativo a chiave singola, si è in una categoria di rischio fondamentalmente diversa rispetto a se si trovano in un wallet controllato dal laptop di una persona. Fai la domanda. Leggi i rapporti di audit. E presta attenzione quando analisti on-chain come Bubblemaps sollevano bandiere, perché spesso vedono problemi prima che le piattaforme stesse lo facciano.