25 июня 2026 года злоумышленник опустошил кошельки более чем 11 пользователей платформы Polymarket — рынка предсказаний, где люди делают ставки на исходы реальных событий. Суммарный ущерб составил около $2,94 млн. Никакого взлома контрактов не было: жертвы сами подписали разрешения, не разобравшись, что именно они одобряют.
Введение
Polymarket работает на блокчейне Polygon и использует собственный токен pUSD — цифровой доллар внутри платформы, которым пользователи делают ставки. Атака была направлена не на сам протокол, а на пользователей: злоумышленник создал поддельный интерфейс или вредоносное разрешение, которые внешне выглядели как легитимные действия на Polymarket.
Ход инцидента
Механика фишинга. Фишинг в крипте работает по простой схеме: пользователю показывают знакомый интерфейс — сайт, форму, всплывающее окно — и просят выполнить привычное действие: подключить кошелёк, подтвердить транзакцию или подписать сообщение. На экране всё выглядит нормально, но за кнопкой «подтвердить» скрывается разрешение — approve — которое даёт злоумышленнику право свободно распоряжаться токенами жертвы.
Ключевое свойство таких разрешений: они действуют постоянно, пока их не отозвать. Один клик — и злоумышленник может в любой момент вывести одобренные токены без каких-либо дополнительных действий со стороны жертвы.
Именно так и произошло: более 11 пользователей Polymarket подписали вредоносные разрешения, после чего злоумышленник получил доступ к их pUSD и вывел средства.
Детали расследования: движение средств
После получения средств злоумышленник действовал по единой схеме: pUSD с кошельков жертв поступали на промежуточные адреса в сети Polygon, там конвертировались в USDC.e (версия доллара для Polygon) через сервис Relay Solver — агрегатор, который автоматически находит лучший маршрут для перевода между сетями, — после чего переводились в сеть Ethereum уже в виде USDC и обменивались на ETH. Все потоки в итоге сходились на одном адресе консолидации.
Потоки средств выглядели следующим образом:
— С адреса 0xC771A30a7c1aCA828eeEF7B822ac864a64cBaAe2 - около $537 тыс. pUSD → через Relay Solver в USDC.e → Ethereum в USDC → ETH → адрес консолидации
— С адреса 0xC44F2Ca6B30A54d17a62ceF8FAdaF2e8C8632eC4 - около $186 тыс. pUSD → Ethereum в USDC → ETH → адрес консолидации
— С адреса 0x10366AdBB5C4101A65C840Da6639546179C5A107 - около $343 тыс. pUSD → через Relay Solver в USDC.e → Ethereum в USDC → ETH → адрес консолидации
— С адреса 0x7BCECe0d8fd92ECCf39Bc35242c6D9aAc0aA75A6 - около $227 тыс. pUSD → промежуточный адрес 0x2eb06B8d81c6f26d9cb26327878999aC7db3891B → через Relay Solver в ETH → адрес консолидации
— С адреса 0xE42640650C634ad300a47635856AafBbBA1d2222 - около $1,373 млн pUSD → USDC.e → Ethereum в USDC → ETH → адрес консолидации
— С адреса 0x51Cf782223289C05568F9F7Dede8CB1bC2f9c5Ca - около $446 тыс. pUSD → USDC.e → Ethereum в USDC → ETH → адрес консолидации
Все средства собраны на адресе консолидации 0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD в сети Ethereum. На момент расследования они остаются там без движения.
Почему это стало возможным
Фишинг не требует взлома кода — он эксплуатирует привычку пользователей нажимать «подтвердить», не вчитываясь в детали. В мире крипты это особенно опасно: транзакции необратимы, отменить вывод средств невозможно, а разрешение на распоряжение токенами остаётся действующим до тех пор, пока пользователь его явно не отзовёт.
Несколько практических правил, которые помогают защититься:
— Всегда проверять адрес сайта перед подключением кошелька. Поддельные сайты часто отличаются одной буквой в домене.
— Читать, что именно вы подписываете. Если кошелёк просит разрешить доступ к неограниченному количеству токенов — это повод насторожиться.
— Периодически проверять и отзывать неиспользуемые разрешения через сервисы вроде Revoke.cash.
Заключение
$2,94 млн ушли не потому, что был взломан контракт или найдена уязвимость в коде Polymarket. Пострадали сами пользователи — каждый из них в какой-то момент нажал «подтвердить» там, где не стоило.
Злоумышленник действовал методично: собрал средства с шести промежуточных адресов в Polygon, конвертировал всё в ETH и стянул на один адрес в Ethereum. На момент расследования $2,94 млн остаются на этом адресе нетронутыми.
Команда КоинКит продолжает отслеживать движение средств.
