Se connecter S'inscrire
Newsletter

Polymarket : 2,9 millions de dollars dérobés dans un piratage, les utilisateurs seront remboursés

Polymarket a perdu 2,9 millions de dollars dans un piratage de son interface et promet de rembourser intégralement les utilisateurs touchés.
parAlex LeRoux
3 minutes de lecture
Polymarket hack interface remboursement

Ce qu’il faut retenir :

  • Polymarket a été piratée via un script malveillant injecté dans son interface par un prestataire tiers compromis.
  • Environ 2,9 millions de dollars en stablecoin PUSD ont été dérobés à au moins onze portefeuilles d’utilisateurs.
  • La plateforme a contenu l’attaque, retiré la dépendance affectée et promet de rembourser intégralement les victimes.

Polymarket a été victime d’un piratage qui a dérobé environ 2,9 millions de dollars à au moins onze de ses utilisateurs, via un script malveillant injecté dans son interface. La plateforme de marchés prédictifs a confirmé l’incident jeudi et s’engage à rembourser intégralement les victimes.

Comment les pirates ont-ils vidé les portefeuilles des utilisateurs ?

L’attaque n’a pas visé les contrats intelligents de Polymarket, mais un maillon plus faible : un prestataire tiers. Les pirates ont compromis ce fournisseur pour injecter un script JavaScript malveillant dans le frontend du site. On parle d’attaque de la chaîne d’approvisionnement (supply-chain attack), où l’attaquant frappe un sous-traitant plutôt que le cœur du système.

Quand un utilisateur connectait son portefeuille, le script l’incitait à signer ou approuver une transaction piégée, qui transférait ses fonds vers les pirates. Les jetons dérobés étaient des PUSD, le stablecoin maison de Polymarket adossé au dollar et garanti par de l’USDC, utilisé pour l’ensemble des paris sur la plateforme. L’analyste on-chain Specter, le premier à repérer l’attaque, chiffre le butin à 2,94 millions de dollars. Les pirates ont ensuite transféré les fonds de Polygon vers Ethereum, avant de les convertir en environ 1 893 ETH regroupés sur une seule adresse, selon la société de sécurité PeckShield.

Polymarket promet un remboursement intégral

Polymarket a réagi vite. Environ quinze minutes après l’alerte de Specter, la plateforme confirmait la faille sur X : “Nous l’avons contenue et supprimé la dépendance affectée.” Moins de quinze comptes ont été touchés, et l’entreprise affirme contacter les victimes pour les rembourser sans exception. Les contrats et les fonds bloqués dans le protocole n’ont pas été touchés, et le PUSD a conservé sa parité avec le dollar.

Ce n’est pas le premier incident du genre pour Polymarket. Un mois plus tôt, la plateforme avait révélé un autre vol, d’environ 600 000 dollars, lié à une clé privée vieille de six ans servant à des opérations internes de recharge. Josh Stevens, vice-président ingénierie de Polymarket, avait alors assuré que les contrats et les fonds des utilisateurs restaient en sécurité, et que les autorisations liées à cette clé avaient été révoquées. Les deux attaques ont frappé la périphérie de la plateforme, jamais son protocole.

Pourquoi le deuxième trimestre 2026 bat-il tous les records de hacks ?

L’attaque contre Polymarket est la 89e faille de sécurité crypto recensée au deuxième trimestre 2026, d’après les données de DefiLlama, ce qui en fait le trimestre le plus touché de l’histoire en nombre d’incidents. Sur le seul mois de juin, les pertes liées aux exploits atteignent 74,9 millions de dollars sur 29 incidents, au-dessus des 60,5 millions de mai, mais loin des 644 millions d’avril.

Les plus gros vols de juin comprennent les 36 millions de dollars dérobés à Humanity Protocol et les 4,7 millions perdus sur un pont du Secret Network. Sur les trente derniers jours, les compromissions de clés privées représentent 43 % des pertes, premier vecteur d’attaque, devant les faux justificatifs (10 %) et les pièges dits reverse MEV honeypots (8 %).

Ce qu’il faut surveiller

Le hack tombe au pire moment pour Polymarket, dont la TVL (valeur totale verrouillée) dépasse désormais 450 millions de dollars, en hausse de 301 % sur un an. Plus une plateforme grossit, plus elle devient une cible. La rapidité du remboursement pourrait limiter les dégâts de réputation, mais l’incident rappelle que les interfaces web et leurs sous-traitants restent le talon d’Achille de la finance décentralisée, même quand le code des contrats tient bon. Les fonds volés, toujours traçables sur Ethereum, laissent la porte ouverte à une éventuelle récupération.

0
0
0
Share 0
Tweet 0
Share 0

Cet article vous a plu ? Recevez les prochains par email

Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.

En savoir plus sur notre newsletter crypto →
Retrouvez toute l'actualité dans notre rubrique Actualités DeFi sur Coin Academy.

Pour aller plus loin

  1. Les utilisateurs de FTX TOTALEMENT REMBOURSÉS ? ft Arthur Hayes
  2. Bitcoin : Les créanciers de Mt.Gox sur le point d’être remboursés
  3. Mt. Gox : les créanciers sur le point d’être remboursés pour de bon ?
Share
Tweet
Share
Share
Share
Share
Alex
Auteur
Alex LeRoux
Chief Content Officer CoinAcademy. Tech, finances, crypto, IA. Alex@coinacademy.fr
Articles qui pourraient vous intéresser
Logo CoinAcademy
Propulsé par  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.