Polymarket victime d’un hack de 3,1 millions de dollars, malgré une promesse de remboursement intégral
L’attaque a visé 11 comptes via une campagne de phishing et un fournisseur compromis. Polymarket dit avoir corrigé la faille et prévoit des remboursements en PUSD.

À retenir
- Polymarket a été victime d’un hack au cours duquel environ 3,1 millions de dollars en tokens PUSD ont été dérobés sur 11 comptes utilisateurs.
- L’attaque a débuté par une campagne de phishing, puis par la compromission d’un fournisseur qui a injecté du code malveillant dans le frontend de la plateforme.
- Polymarket dit avoir corrigé la faille et promet un remboursement intégral en PUSD aux utilisateurs touchés.
Polymarket, la plateforme décentralisée de marché de prédictions, a récemment subi un hack d’ampleur, avec environ 3,1 millions de dollars en tokens PUSD appartenant à des utilisateurs dérobés. Les attaquants sont passés par une campagne de phishing visant 11 comptes, avant de transférer les actifs volés de Polygon vers Ethereum.
Détails de l’attaque et réaction de Polymarket
L’incident a été mis au jour après la compromission d’un fournisseur tiers de Polymarket, qui a injecté un script malveillant dans le frontend de la plateforme pour certains utilisateurs. Depuis, Polymarket a supprimé la dépendance en cause afin de corriger la vulnérabilité et a pris contact avec les personnes touchées. La plateforme leur a promis un remboursement intégral en PUSD, le token natif utilisé pour l’ensemble des transactions sur la plateforme.
Une société de cybersécurité blockchain PeckShield a signalé que les attaquants avaient mené une campagne de phishing à l’origine du vol initial d’environ 1.893 ETH, soit un montant proche de 3 millions de dollars. L’ampleur de la perte a ensuite été réévaluée à 3,1 millions de dollars par AMLBot. L’une des victimes a raconté son expérience sur les réseaux sociaux, expliquant que son wallet avait été hacké sans qu’elle comprenne comment l’attaque avait pu se produire.
Problèmes de sécurité récents et enquête
Ce hack n’est pas le premier incident de sécurité à toucher Polymarket. En mars, une possible faille avait déjà été signalée, avec plus de 520.000 dollars retirés de deux smart contracts sur la blockchain Polygon. À l’époque, Polymarket avait assuré que les fonds restaient en sécurité. Plus tôt, en décembre, la plateforme avait également fait état d’un incident de sécurité sur son canal Discord, après que des utilisateurs eurent signalé des fonds manquants et des tentatives de connexion suspectes. Ces problèmes avaient alors été attribués à un tiers chargé des services de connexion.
Dans le même temps, Polymarket fait l’objet d’un examen fédéral à la suite de signalements concernant des pratiques marketing trompeuses sur les réseaux sociaux, où les utilisateurs étaient profilés en fonction de leurs gains. Cette enquête s’ajoute à des sanctions et restrictions antérieures, dont une amende de 1,4 million de dollars infligée par la Commodity Futures Trading Commission (CFTC) américaine en 2022 pour avoir proposé des contrats binaires sans les autorisations requises.
Pertinence pour les utilisateurs européens de crypto
Même si Polymarket a récemment fait son retour sur le marché américain après le rachat d’une bourse agréée par la CFTC, la plateforme reste sous pression à l’international. Dans plusieurs pays, dont la France, le Brésil et l’Inde, Polymarket est interdit en raison de préoccupations liées à la conformité avec les lois sur les jeux d’argent et les paris. Pour les utilisateurs européens de crypto, ce hack rappelle l’importance de rester vigilants sur les plateformes décentralisées, en particulier face aux campagnes de phishing, dans un environnement où la réglementation et la sécurité continuent d’évoluer. L’affaire illustre aussi une tendance plus large : les attaques reposent de plus en plus sur des failles humaines et opérationnelles plutôt que sur une erreur de code, comme le montre également la sécurité de la crypto exige plus que de simples audits pour éviter les pertes.