DATAVOXX # — Новости, Технологии, Крипто, ИИ, Политика, Финансы, Банки

Новости · 26 июня 2026 г.

Открыть канал в MAX

Polymarket взломали через витрину

Polymarket взломали через витрину У Polymarket украли около $3 млн не из смарт-контракта, а через сайт. По сообщениям исследователей и самой платформы, у стороннего подрядчика был скомпрометирован код, который подгружался на страницу Polymarket. Этот код показали части пользователей, и он смог увести pUSD, долларовый токен, которым на Polymarket обеспечивают ставки. Как это устроено простыми словами. Когда человек заходит на криптосервис, кошелёк обычно не отдаёт деньги сайту напрямую. Он сначала подписывает разрешение: этому адресу можно работать с такими-то токенами. Если на странице появляется вредный скрипт, он может подсунуть пользователю не обычное действие, а разрешение или перевод в пользу атакующего. В интерфейсе это выглядит как привычное подключение кошелька, а в блокчейне потом уже видно движение денег. Поэтому эта атака неприятнее обычного «взломали биржу». Polymarket мог иметь нормальные контракты, но пользователь видел не чистую витрину, а витрину с чужой вставкой. Деньги не лежали в базе данных компании. Они лежали в кошельках пользователей, а сайт стал местом, где у этих кошельков выпросили опасное действие. Слабое место тут не только Polymarket. Почти любой современный веб-сервис собирает страницу из своего кода, аналитики, виджетов, библиотек, платёжных модулей и кода подрядчиков. В обычном интернет-магазине такая поломка может украсть карту или пароль. В криптосервисе она крадёт разрешение на токены, а потом деньги уходят за минуты. Polymarket заявил, что удалил вредный код и вернёт средства пострадавшим. Это важная деталь: компания берет ущерб на себя, хотя технически удар прошёл через чужой компонент. Для рынка прогнозов это ещё и репутационный удар. Люди приходят туда спорить о выборах, ставках ФРС и событиях, но внезапно главный риск оказался не в прогнозе, а в странице, где пользователь нажимает кнопку. Практическая память простая. Если кошелёк просит разрешение на крупную сумму или непонятный токен, это не «ещё одно всплывающее окно». Это может быть доступ к деньгам. Для криптосервисов проверка подрядчиков теперь такая же часть безопасности, как аудит смарт-контрактов. Дверь может быть крепкой, но касса всё равно стоит у витрины.