- ZachXBT a indiqué que le contrat UMA CTF de Polymarket sur Polygon avait été exploité pour plus de 520 000 $.
- L’attaquant a compromis une ancienne clé privée appartenant à un portefeuille interne des opérations de Polymarket.
- Cet incident soulève de nouvelles préoccupations concernant la sécurité des marchés de prévision et pourrait affecter la confiance des utilisateurs dans Polymarket.
Le 22 mai 2026, l’enquêteur on-chain de renom ZachXBT a averti que le contrat de Polymarket pour l’adaptateur Universal Market Access (UMA) Conditional Token Framework (CTF) de Polymarket sur Polygon avait probablement été exploité lors d’une importante faille de sécurité, les attaquants ayant détourné plus de 520 000 $ des adresses liées, principalement des jetons POL et USDC.e.
ZachXBT signale un exploit suspecté de contrat UMA de Polymarket à plus de 520 000 $
ZachXBT a signalé une activité suspecte impliquant le contrat UMA CTF Adapter de Polymarket déployé sur Polygon. Les rapports communautaires et les données on-chain ont indiqué que plus de 520 000 $, principalement en tokens POL et USDC.e, ont été drainés de l’adaptateur, certains trackers ayant ensuite rapporté des totaux dépassant 600 000 $.
L’activité de vide impliquait des transferts répétés, incluant environ 5 000 POL toutes les 30 secondes depuis des adresses contractuelles concernées, notamment 0x871D7… 082 et 0xf61e3… 805. Les fonds volés étaient ensuite rapidement acheminés via une chaîne de portefeuilles intermédiaires, probablement pour obscurcir la piste des transactions et compliquer les efforts de suivi.
Qu’est-ce qui a causé l’exploit de l’adaptateur Polymarket UMA
L’incident n’est pas le résultat d’une vulnérabilité ou d’un bug dans le code du smart contract en temps réel de l’adaptateur CTF UMA. Elle découlait plutôt de la compromission d’une ancienne clé privée appartenant à un portefeuille interne des opérations du Polymarché .
Ce portefeuille disposait de privilèges administratifs liés à l’initialiseur UMA CTF Adapter sur Polygon. Il était auparavant utilisé pour des opérations internes telles que la distribution des récompenses, les recharges de liquidité ou les tâches de maintenance associées. L’assaillant, adresse 0x8F980… B91, contrôlant la clé compromise, s’est connecté et a exécuté des transactions légitimes qui ont drainé directement les fonds des adresses des contrats adaptateurs, avec des parties déjà déposées dans des services comme ChangeNOW, une plateforme d’échange crypto non dépositaire.
L’équipe d’ingénierie de Polymarket a confirmé l’incident peu après l’alerte de ZachXBT. L’équipe a également indiqué que les équilibres et positions des utilisateurs sur la plateforme centrale Polymarket restent inchangés, car le rôle de l’adaptateur est limité aux fonctions liées à l’oracle.
Quel est l’impact sur la sécurité des marchés polycommerciaux et des marchés de prévision ?
L’incident a ravivé les inquiétudes concernant la sécurité des infrastructures sur les marchés de prédiction décentralisés, en particulier les protocoles dépendant d’adaptateurs Oracle et d’intégrations complexes entre contrats. Les experts en sécurité s’attendent à ce que cette faille accélère les demandes d’audits plus stricts des contrats intelligents, d’élargissement des programmes de bonus sur les bugs, de contrôles plus stricts des portefeuilles et d’une surveillance continue en chaîne pour Polymarket et des plateformes similaires.
Malgré l’exploit, les opérations de résolution de marché et de règlement se sont poursuivies sans interruption car la compromission était liée à une clé privée administrative héritée sur le déploiement Polygon plutôt qu’à une vulnérabilité dans la logique des contrats en temps real ou l’infrastructure de trading centrale.
Cependant, cet exploit met en lumière un risque plus large auquel est confronté le secteur du marché de prédiction, car même des composants d’infrastructure non custodiaux tels que les adaptateurs oracle peuvent devenir des surfaces d’attaque critiques si les clés privilégiées sont mal gérées, insuffisamment rotées ou restent actives après une utilisation opérationnelle.
En conséquence, cet incident renforce la nécessité de normes de sécurité opérationnelles renforcées, incluant l’autorisation multi-signatures, des modules de sécurité matérielle, des protections à verrouillage temporel, une rotation régulière des identifiants et des audits de sécurité continus à travers les systèmes oracles DeFi.
En lien avec : Polymarket rejette les allégations de violation de données de 300K
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
