Polymarket confirme une faille de la chaîne d'approvisionnement front-end et promet des remboursements intégraux après qu'un script malveillant ait siphonné les fonds des utilisateurs

— By Tony Rabbit in News

Polymarket confirme une faille de la chaîne d'approvisionnement front-end et promet des remboursements intégraux après qu'un script malveillant ait siphonné les fonds des utilisateurs

Polymarket a confirmé le 25 juin 2026 qu'un fournisseur tiers compromis avait injecté un script malveillant dans son front-end, incitant certains utilisateurs à approuver des transferts qui ont siphonné leurs fonds. Polymarket a déclaré avoir maîtrisé l'incident et remboursera intégralement les utilisateurs affectés. Les analystes on-chain estiment les pertes à environ 3 millions de dollars.

Le 25 juin 2026, le marché de prédiction Polymarket a confirmé que son site web avait été victime d'une attaque de la chaîne d'approvisionnement front-end. Selon la propre déclaration de Polymarket, un fournisseur tiers compromis a injecté un script malveillant sur le site pour certains utilisateurs, les incitant à signer des transactions qui ont transféré le contrôle de leurs fonds à un attaquant. Polymarket a déclaré avoir maîtrisé l'incident, supprimé la dépendance affectée et rembourserait intégralement les utilisateurs affectés. Il est crucial de noter qu'il ne s'agissait pas d'un exploit de smart contract ou d'oracle. Les contrats sous-jacents de la plateforme n'ont pas été violés. L'attaque s'est produite au niveau du site web, ce qui est précisément la raison pour laquelle elle est importante pour tous ceux qui auto-conservent leur crypto.

Ce que Polymarket a confirmé

  • Polymarket a officiellement confirmé une faille front-end via son compte X vérifié le 25 juin 2026.
  • Un fournisseur tiers compromis a injecté un script malveillant dans le front-end pour certains utilisateurs.
  • Le script a incité les utilisateurs affectés à approuver les transferts de pUSD, le token dollar de Polymarket adossé à l'USDC sur Polygon.
  • Polymarket a déclaré avoir maîtrisé l'incident, supprimé la dépendance et remboursera intégralement les utilisateurs affectés.
  • Les smart contracts n'ont pas été exploités. Il s'agissait d'une attaque au niveau du site web.

Ce qui s'est passé

Polymarket a décrit l'incident dans une déclaration publique, reproduite par des médias tels que Benzinga, Decrypt et Protos : "Ce matin, nous avons découvert qu'un fournisseur tiers avait été compromis, injectant un script malveillant dans notre front-end pour certains utilisateurs. Nous l'avons maîtrisé et avons supprimé la dépendance affectée. Nous contactons les utilisateurs impactés et les remboursons intégralement." En termes simples, un logiciel dont dépendait le site web de Polymarket a été piraté, et par son intermédiaire, l'attaquant a glissé du code malveillant sur le site que certains visiteurs ont chargé. Ce code n'a pas brisé les contrats de Polymarket. Au lieu de cela, il a incité les utilisateurs à signer des approbations qui ont permis à l'attaquant de déplacer leurs tokens.

Une attaque front-end, pas un hack de contrat

Cette distinction est toute l'histoire. Dans un exploit de contrat, les attaquants trouvent une faille dans le code on-chain et vident directement un pool. Ici, les contrats étaient intacts. Le maillon faible était le site web, la couche entre vous et la blockchain. En compromettant une dépendance tierce, l'attaquant a modifié ce que le site demandait aux utilisateurs de signer, transformant une interaction de routine en une approbation vidant le portefeuille. Il s'agit d'une attaque de la chaîne d'approvisionnement, et elle est de plus en plus courante car le front-end est souvent plus "mou" que les contrats audités qui le sous-tendent. Il convient également d'être précis quant à l'incident Polymarket dont il s'agit. Il est distinct de l'exploit de l'adaptateur UMA CTF de mai 2026 sur Polygon, un événement différent signalé par les enquêteurs on-chain, et des litiges antérieurs concernant l'oracle de la plateforme. Pour plus d'informations sur la plateforme elle-même, consultez notre guide sur Polymarket et les marchés de prédiction.

Combien a été volé

Polymarket n'a pas publié de chiffre en dollars, de nombre de victimes ou le nom du fournisseur compromis. Les chiffres qui circulent proviennent d'analystes on-chain, et non de Polymarket, et doivent être considérés comme des estimations. Des sociétés de sécurité on-chain, dont PeckShield, Bubblemaps et Specter, ont signalé environ 3 millions de dollars en pUSD siphonné de moins de 15 portefeuilles. Les analystes ont également rapporté que les pUSD volés ont été transférés de Polygon vers Ethereum et échangés contre de l'ETH avant d'être consolidés. Étant donné que Polymarket n'a confirmé aucun de ces chiffres, traitez-les comme des estimations d'analystes qui pourraient être révisées à mesure que plus d'informations sont tracées.

Pourquoi cela est important même si votre token est "sûr"

La leçon ici est inconfortable mais importante : la sécurité des tokens et des contrats est nécessaire, mais elle n'est pas suffisante. Vous pouvez vérifier un token pour un honeypot, confirmer que le contrat semble propre, et toujours perdre des fonds si le site web auquel vous vous connectez a été compromis et que vous approuvez une transaction malveillante. Le front-end est une surface d'attaque à part entière. Lorsque l'interface elle-même vous ment, la seule défense qui reste est d'examiner attentivement ce que votre portefeuille vous demande de signer.

Comment se protéger des attaques front-end et d'approbation

Le point à retenir

Polymarket semble avoir réagi rapidement, maîtrisant l'incident et s'engageant à des remboursements intégraux, ce qui limite les dommages pour les utilisateurs. Mais cet épisode est un rappel clair que dans le monde de la crypto, le site web fait partie de votre modèle de menace. Une dépendance compromise peut retourner une interface de confiance contre vous en quelques secondes, et aucun audit de contrat ne vous sauvera si vous approuvez vous-même la transaction malveillante. Ralentissez à chaque signature, maintenez les approbations strictes et traitez les invites inattendues comme hostiles jusqu'à preuve du contraire. Il s'agit d'une histoire en cours de développement et les chiffres attribués aux analystes peuvent changer. Cet article est à titre informatif uniquement et ne constitue pas un conseil financier.