Polymarket подтверждает взлом внутреннего кошелька – средства пользователей в безопасности

14 июня 2026 года Polymarket подтвердил взлом внутреннего кошелька, который вызвал беспокойство в сообществе предсказательных рынков. Утечка, впервые обнаруженная аналитической компанией Bubblemaps, включала серию подозрительных автоматизированных переводов с рабочего кошелька, связанного с системой вознаграждений платформы. Polymarket быстро разъяснил, что средства пользователей остаются в безопасности, объяснив инцидент компрометацией приватного ключа, а не какой-либо ошибкой в основных смарт-контрактах платформы. Это различие имеет огромное значение: уязвимость смарт-контракта угрожала бы каждому доллару на платформе, в то время как компрометация рабочего кошелька, хотя и серьезная, представляет собой локализованную проблему. Для тех, кто наблюдает за эволюцией угроз кибербезопасности на платформах децентрализованных финансов в реальном времени, этот инцидент предлагает полезный пример того, как современные предсказательные рынки справляются с сбоями в безопасности, что пошло правильно и что еще нужно исправить.

Обнаружение: уведомления Bubblemaps и автоматизированные оттоки

Первый публичный сигнал поступил не от Polymarket, а от Bubblemaps, инструмента визуализации на блокчейне, который отслеживает кластеры кошельков и потоки токенов через несколько сетей. Их автоматизированная система уведомлений зафиксировала паттерн оттоков с известного адреса, связанного с Polymarket, в сети Polygon, что вызвало немедленное внимание со стороны более широкой крипто-сообщества по безопасности.

В течение нескольких часов независимые исследователи подтвердили это открытие. Кошелек, о котором идет речь, был систематически опустошен через серию идентичных транзакций, каждая из которых переводила фиксированное количество токенов POL через регулярные интервалы. Механическая точность переводов была явным признаком: ни один человек не перемещает средства в таком жестком, повторяющемся паттерне.

Распознавание паттернов: повторяющиеся переводы 5,000 POL

Злоумышленник выполнял переводы ровно 5,000 POL примерно каждые 12 минут на протяжении нескольких часов. Такой метод извлечения является распространенной тактикой. Вместо того чтобы опустошить кошелек в одной крупной транзакции, которая немедленно вызвала бы тревогу и могла бы быть предотвращена или заморожена, злоумышленник распределил кражу по десяткам меньших транзакций.

К моменту, когда Bubblemaps поднял тревогу, примерно 230,000 POL (стоимостью около $115,000 на тот момент) уже покинули кошелек. Однородность сумм и времени сильно указывала на то, что за извлечением стоит скрипт или бот, а не ручные выводы.

Отслеживание адреса злоумышленника в сети Polygon

Исследователи на блокчейне быстро отследили адрес получателя. Адрес злоумышленника не имел истории транзакций до инцидента, что типично для вновь созданных кошельков, используемых для атак. Прозрачность Polygon означала, что каждый шаг был публично виден, но скорость извлечения и последующая обфускация затруднили вмешательство в реальном времени. Блокчейн-аналитические компании, включая Chainalysis и Arkham Intelligence, начали помечать связанные адреса в течение 24 часов.

Официальное заявление Polymarket: компрометация внутреннего кошелька

Ответ Polymarket поступил примерно через шесть часов после уведомления Bubblemaps. Платформа опубликовала заявление в X (ранее Twitter) и на своем официальном блоге, подтверждая утечку и предоставляя первоначальные детали. В заявлении четко указывалось, что балансы пользователей, рыночные позиции или механизмы разрешения не пострадали. Polymarket описал инцидент как «компрометацию приватного ключа внутреннего рабочего кошелька», проводя четкую грань между этой утечкой и любой системной уязвимостью в архитектуре платформы.

Утечка приватного ключа против уязвимости смарт-контракта

Это различие критически важно и стоит четко понимать. Уязвимость смарт-контракта означает, что код, управляющий основными функциями платформы (депозиты, выводы, создание рынков, разрешение), имеет ошибку, которую злоумышленник может использовать. Такая ошибка может опустошить целые протоколы. Мы видели это с взломом Euler Finance в 2023 году и атакой на Mango Markets в 2022 году.

Компрометация приватного ключа fundamentally отличается. Это означает, что кто-то получил доступ к криптографическому ключу, контролирующему конкретный кошелек. Смарт-контракты платформы функционировали точно так, как задумано; проблема заключалась в том, что несанкционированная сторона получила учетные данные к одному конкретному адресу. Подумайте об этом как о краже ключа от офиса банковского менеджера по сравнению с нахождением недостатка в механизме блокировки сейфа. Оба случая плохи, но радиус поражения отличается в разы.

Последний аудит смарт-контрактов Polymarket, проведенный Trail of Bits в начале 2026 года, не выявил критических уязвимостей. Эти результаты аудита смарт-контрактов Polymarket остаются актуальными, поскольку подтверждают целостность кода, который фактически управляет средствами пользователей.

Роль рабочего кошелька в выплатах вознаграждений

Скомпрометированный кошелек выполнял конкретную функцию: распределение вознаграждений за ликвидность и рекламных стимулов активным трейдерам. Он хранил токены POL, предназначенные для этих программ, а не USDC или другие стейблкоины, используемые для рыночных позиций.

Этот кошелек работал как горячий кошелек, что означает, что его приватный ключ хранился таким образом, который позволял автоматизированные, частые транзакции. Безопасность горячих кошельков по сравнению с холодным хранением хорошо известна в отрасли: горячие кошельки обеспечивают скорость и автоматизацию, но несут более высокий риск, поскольку их ключи доступны онлайн. Холодное хранение гораздо более безопасно, но непрактично для высокочастотных, автоматизированных выплат. Операционная необходимость дизайна этого кошелька именно и сделала его уязвимым.

Оценка воздействия и уверенность в безопасности пользователей

Финансовый ущерб от этого инцидента был относительно ограничен. Примерно $115,000 в украденных POL представляет собой небольшую долю от общей заблокированной стоимости Polymarket, которая на момент утечки превышала $480 миллионов. Ежедневный объем торгов платформы не пострадал, и ни один рынок не был приостановлен или нарушен.

Архитектура Polymarket сыграла значительную роль в ограничении ущерба. Платформа отделяет рабочие кошельки от инфраструктуры смарт-контрактов, которая хранит депозиты пользователей и управляет результатами рынков. Эта компартментализация является преднамеренным дизайнерским выбором, и она оправдала себя в данном случае.

Изоляция депозитов пользователей и разрешений рынков

Средства пользователей на Polymarket хранятся в смарт-контрактах на Polygon, контролируемых кодом протокола, а не каким-либо отдельным приватным ключом. Депозиты, выводы и разрешения рынков выполняются через эти контракты. Скомпрометированный рабочий кошелек не имел полномочий на выполнение этих функций.

Это разделение следует принципу, который зрелые протоколы DeFi все чаще принимают: минимизировать количество кошельков с широкими полномочиями. Рабочий кошелек мог только отправлять POL в качестве вознаграждений; он не мог взаимодействовать с балансами пользователей, изменять параметры рынка или инициировать разрешения. Даже если бы злоумышленник захотел манипулировать рынками, этот кошелек просто не имел полномочий для этого.

Текущий статус операций платформы и ликвидности

На момент написания Polymarket полностью функционирует. Выплаты вознаграждений были временно приостановлены, пока команда меняла ключи и развертывала заменяющий кошелек. Платформа подтвердила, что невыплаченные вознаграждения, причитающиеся пользователям, будут выполнены из отдельного казначейского резерва.

Ликвидность на основных рынках, включая предсказательные рынки по политике США и контракты на глобальные события, оставалась стабильной. В течение 48 часов после раскрытия не произошло значительного всплеска выводов, что свидетельствует о том, что сообщество в основном приняло объяснение Polymarket и локализованный характер утечки.

Безопасностные последствия для децентрализованных предсказательных рынков

Этот взлом поднимает более широкие вопросы о том, как предсказательные рынки и платформы DeFi в целом управляют напряжением между децентрализацией и операционным удобством. Polymarket работает как гибрид: его основные механизмы рынка работают на смарт-контрактах, но различные вспомогательные функции (вознаграждения, аналитика, поддержка клиентов) зависят от более традиционной, централизованной инфраструктуры.

Эта гибридная модель распространена в DeFi в 2026 году. Полностью децентрализованные операции остаются непрактичными для платформ, которым необходимо привлекать массовых пользователей, соблюдать такие регуляции, как MiCA в Европе, и поддерживать конкурентоспособный пользовательский опыт. Компромисс заключается в том, что централизованные компоненты вводят централизованные точки отказа.

Риски централизованных рабочих кошельков

Любой кошелек, контролируемый одним приватным ключом, является целью. Протоколы безопасности предсказательных рынков, которые управляют смарт-контрактами для пользователей, не распространяются на эти рабочие кошельки, если команда явно не разрабатывает их для этого. Общие векторы атак включают:

• Скомпрометированные машины разработчиков или облачные среды, где хранятся ключи
• Фишинговые атаки, нацеленные на членов команды с доступом к кошелькам
• Угрозы со стороны инсайдеров, текущих или бывших сотрудников
• Атаки на цепочку поставок программного обеспечения для управления ключами

Инцидент с Polymarket пока не был отнесен к конкретному вектору, хотя платформа заявила, что расследование продолжается с помощью внешних компаний по безопасности.

Лучшие практики для снижения рисков горячих кошельков

Несколько практик могут снизить риск и последствия компрометации горячих кошельков:

• Используйте мультиподписные кошельки для любого адреса, хранящего значительную ценность, даже для рабочих
• Реализуйте лимиты расходов, которые ограничивают сумму, которую может переместить любая одна транзакция или временной период
• Регулярно меняйте ключи и после любых изменений в персонале
• Храните ключи горячих кошельков в аппаратных модулях безопасности, а не в программных решениях
• Отслеживайте оттоки в реальном времени с автоматизированными уведомлениями, откалиброванными для обнаружения аномальных паттернов

Polymarket указал, что он примет несколько из этих мер для своего заменяющего рабочего кошелька, включая требования к мультиподписке и лимиты расходов на каждую транзакцию.

Текущее наблюдение и будущие шаги по устранению недостатков

Ответ Polymarket на компрометацию приватного ключа этого крипто-кошелька был в значительной степени прозрачным, что задает положительный прецедент. Платформа обязалась опубликовать полный отчет о произошедшем в течение 30 дней, включая коренные причины утечки ключа, подробный график и конкретные шаги по устранению недостатков.

Широкая экосистема предсказательных рынков должна обратить на это внимание. Поскольку платформы, такие как Polymarket, Kalshi и новые участники, конкурируют за долю рынка, инциденты безопасности будут все больше формировать доверие пользователей и восприятие со стороны регуляторов. Утечка, хорошо обработанная, с быстрой раскрытием, четким общением и демонстрацией локализации, может на самом деле укрепить доверие к платформе. Плохо обработанная утечка, с задержками, запутанностью или потерями пользователей, может быть фатальной.

Для пользователей вывод прост: понимайте, где на самом деле находятся ваши средства. Если они находятся в смарт-контракте с проверенным кодом и без доступа администратора с одним ключом, вы находитесь в принципиально другой категории риска, чем если они находятся в кошельке, контролируемом ноутбуком одного человека. Задавайте вопрос. Читайте отчеты об аудите. И обращайте внимание, когда аналитики на блокчейне, такие как Bubblemaps, поднимают тревогу, потому что они часто видят проблемы раньше, чем сами платформы.