Polymarket victime d’une attaque : 520 000 dollars dérobés sur Polygon
Les oracles aveugles La plus grande plateforme de marchés prédictifs au monde vient de subir une attaque. Ce jeudi, l’investigateur on-chain ZachXBT a lancé une alerte communautaire : une adresse administrateur de Polymarket sur la blockchain Polygon aurait été compromise, entraînant le vol de plus de 520 000 dollars. Des dégâts minim pour un géant qui pèse plusieurs milliards de dollars.
- Polymarket, la plus grande plateforme de marchés prédictifs, a subi une attaque ayant compromis une adresse administrateur sur Polygon, causant un vol de plus de 520 000 dollars.
- La compromission provient d’une clé privée administrative, ce qui soulève des inquiétudes sur la sécurité des credentials humains plutôt que sur une faille systémique du contrat intelligent.
Hack de Polymarket : Que s’est-il passé ?
L’alerte est venue de ZachXBT, référence incontournable dans le domaine de l’investigation blockchain. Dans un message posté sur ses canaux habituels, il signale qu’une adresse administrateur de Polymarket, et non un contrat intelligent en tant que tel, a été compromise sur le réseau Polygon.
Deux adresses ont été vidées dans l’opération :
0x871D7c0f9E19001fC01E04e6cdFa7fA20f9290820xf61e39C7EB1E2Ff5af3A24bCA88D40fD11594805
L’adresse de l’attaquant identifiée par ZachXBT est la suivante : 0x8F98075db5d6C620e8D420A8c56E2F2059d9B91
Le montant dérobé dépasse les 520 000 dollars au moment de l’alerte, un chiffre susceptible d’évoluer.
Polymarket a rapidement confirmé la compromission de l’adresse concernée, sans pour l’instant communiquer de détails supplémentaires sur le vecteur d’attaque ni sur d’éventuelles mesures de remédiation.
C’est quoi Polymarket, exactement ?
Polymarket est la plus grande plateforme décentralisée de marchés prédictifs au monde. Le principe : les utilisateurs parient de l’argent, en USDC, sur l’issue d’événements réels. Élections, décisions de banques centrales, résultats sportifs, lancements technologiques… La plateforme s’est imposée comme un baromètre sérieux de l’opinion, parfois plus précis que les sondages traditionnels.
Elle tourne sur Polygon, une blockchain de couche 2 compatible Ethereum, réputée pour ses frais de transaction bas et sa rapidité. Le contrat impliqué, l’UMA CTF Adapter, est un composant technique clé : il sert d’oracle pour résoudre les marchés, c’est-à-dire déterminer quel résultat est officiellement vainqueur à la clôture d’un pari.
Ce que ça signifie concrètement
La nature de l’attaque est importante à préciser. Il ne s’agit pas d’une faille dans le code du contrat intelligent de Polymarket à proprement parler, ce qui aurait pu signifier une vulnérabilité systémique bien plus grave. Il s’agit de la compromission d’une clé privée administrative, ce qui suggère plutôt une fuite ou un vol de credentials côté humain : phishing, infostealer, ou fuite interne.
C’est une distinction technique qui compte : le protocole lui-même n’est pas nécessairement cassé. Mais une adresse admin compromise reste une brèche sérieuse, elle donne à l’attaquant des droits élevés sur certains contrats de la plateforme, ce qui lui a permis de drainer les fonds concernés.
Ce qu’on ne sait pas encore
À l’heure où nous écrivons, plusieurs questions restent sans réponse :
- Comment la clé privée administrative a-t-elle été compromise ?
- Les fonds sont-ils récupérables ?
- D’autres adresses sont-elles exposées ?
- Polymarket va-t-il indemniser les utilisateurs affectés ?
La plateforme n’a pas encore publié de post-mortem détaillé. À suivre.
Magali
Tombée dans le terrier du lapin blanc en 2017, je suis passée de lectrice assidue à Rédactrice en chef du Journal du Coin. J’aime m'investir dans les coulisses de projets pour porter ma vision d'un futur décentralisé. Amoureuse des belles lettres, je coordonne nos équipes pour transformer la complexité technique en une information humaine, précise et sans jargon inutile. Entre entrepreneuriat et rédaction, ma mission est claire : vulgariser demain, mais le faire aujourd'hui.
