L'dent de sécurité de Polymarket entraîne une perte de 520 000 $ en jetons Polygon

Undent de sécurité chez Polymarket a entraîné la perte de plus de 520 000 $ de garanties provenant dutracUMA CTF Adapter de la plateforme sur Polygon le 22 mai 2026.

ZachXBT, enquêteur spécialisé dans la sécurité de la blockchain, a signalé l'incidentdent une alerte communautaire et a indiqué qu'une adresse de déploiement compromise était le point d'entrée probable de l'attaque. Le vol de données s'est produit sur une courte période, aux alentours de 9 h UTC.

Aucun communiqué officiel de Polymarket ou d'UMA n'avait été publié au moment de la rédaction de cet article.

Comment s'est déroulée la fuite de Polymarket ?

Le piratage a ciblé letracd'administration de l'adaptateur UMA CTF de Polymarket à l'adresse 0x91430C…E5c5. Ce contrat est un proxy évolutif qui gère l'adaptateur principal hébergeant les garanties du marché. La blockchain révèle les premiers événements enregistrés sur letracd'administration aux alentours de 09:00:30 UTC. Cela devrait alerter sur une possible exploitation d'une faille de sécurité liée à un proxy.

Les événements initiaux ont été rapidement suivis de transferts de POL, la cryptomonnaie native de Polygon. À 09:00:49, l'administrateur de l'adaptateur a reçu 5 000 POL d'une adresse Polymarket. Cinq secondes plus tard, il a envoyé près de 9 994 POL vers le compte contrôlé par l'attaquant. Ce schéma s'est répété à 09:01:19 avec un nouvel afflux de 5 000 POL, suivi d'un transfert de près de 5 000 POL vers la même adresse de l'attaquant à 09:01:26.

Le transfert en deux étapes a permis de retirer plus de 10 000 POL de l'adaptateur en moins d'une minute. Les adresses vidées, listées par ZachXBT, 0x871D7c0f et 0xf61e39C7, avaient envoyé des garanties vers l'adaptateur, que l'attaquant a ensuite retirées via letracd'administration. L'adresse principale de l'attaquant a reçu les transferts de POL et a commencé à consolider les fonds peu après.

Une clé compromise, pas un bug detracintelligent

Ainsi, la chaîne d'appels d'initialisation autracd'administration révèle un risque de vol de clés et une vulnérabilité d'initialisation, plutôt qu'un problème lié à la logique de l'oracle optimiste UMA. Letracreposait sur l'oracle UMA, mais la faille s'est produite au niveau du contrôle d'accès, permettant au pirate d'effectuer des appels réservés aux administrateurs.

On peut supposer que le déploiement a eu lieu soit à l'aide d'une clé compromise par des attaquants, soit grâce à un proxy detracnon initialisé exploitable. Une fois les droits d'administrateur obtenus, le pirate a pu retirer la totalité du solde de garantie sans avoir recours à des exploits spécifiques.

Le piratage de Polymarket ressemble à des événements similaires survenus plus tôt en 2026. Par exemple, le piratage de Step Finance, d'une valeur d'environ 27,3 millions de dollars, est survenu suite à une faille dans la clé de sécurité et le mécanisme de signature multiple au début de l'année 2026.

Un cas similaire est le piratage du protocole Drift, intelligents ne présentaient aucune vulnérabilité logicielletrac.

Activité et tracdu portefeuille de l'attaquant

L'adresse 0x8F98075d doit être signalée comme hautement suspecte car elle était la destination des deux transferts de garantie POL et représente la plus grande opportunité de mouvement de valeur volée hors ou à l'intérieur du réseau Polygon.

De même, l'adresse intermédiaire utilisée pour initialiser les appels 0x65070BE9 peut être considérée comme contrôlée par des attaquants et mérite une surveillance similaire.

D'après les expériences passées, il est possible que la prochaine étape implique des ponts inter-chaînes et du mixage. Dans le cas de Drift, une partie des fonds volés a été transférée vers Ethereum via le protocole inter-chaînes de Circle avant d'être blanchie. À ce jour, aucun transfert sortant important depuis les adresses suspectes n'a été signalé.