Polymarket victime d'un exploit de 700 000 $ : ce que nous savons et pourquoi les experts affirment que cela aurait pu être pire
Polymarket a été victime d'une attaque vendredi, après qu'un exploit de contrat a drainé plus de 600 000 $ en crypto. Malgré l'ampleur du vol, plusieurs analystes en sécurité ont souligné que les fonds des utilisateurs et les résultats des marchés n'avaient pas été affectés.
Un expert a même affirmé que l'incident aurait pu être bien plus grave si des contrôles supplémentaires du contrat compromis avaient été utilisés.
L'attaque contre Polymarket
Selon les conclusions de l'enquêteur on-chain ZacXBT, il a signalé un exploit présumé impliquant le contrat UMA CTF Adapter de Polymarket sur Polygon (POL). Au moment de la publication, le montant total associé à l'exploit avait grimpé à près de 700 000 $.
Le détail du fonctionnement de l'exploit a ensuite été exposé par l'expert en sécurité Ox Abdul. Dans son explication, le premier point clé était que le montant en USDC — plus de 600 000 $ — semblait être un drainage unique effectué depuis un portefeuille spécifique sur Polygon, identifié comme 0x8F98, l'administrateur de l'UMA CTF Adapter.
Ox Abdul a également décrit comment le système d'automatisation de Polymarket semble avoir contribué aux mécanismes de l'exploit. Il a indiqué que le système de recharge de Polymarket envoyait de manière répétée 5 000 POL toutes les 30 secondes environ pour maintenir un portefeuille de gaz oracle approvisionné.
Plutôt que de voler une seule fois, l'attaquant a attendu chaque rechargement, puis l'a vidé pendant environ 120 cycles au cours d'une période d'environ 70 minutes, ce qu'il a estimé à environ 600 000 POL.
Il est important de noter que les pertes continues en POL, dans ce compte, ont été attribuées à la rapidité avec laquelle la détection et la réponse de Polymarket se sont produites. L'exploit a finalement été stoppé après la rotation des clés.
Comment l'exploit aurait pu être bien plus grave
Après avoir drainé les rechargements, Ox Abdul a déclaré que l'exploiteur s'est ensuite retiré via 16 sous-adresses en utilisant ChangeNOW. Même si les dégâts ont été limités, il a averti que la situation présentait des signaux d'alarme potentiels au-delà du vol lui-même.
À son avis, le portefeuille administrateur compromis ne détenait pas seulement des USDC et des POL ; il portait également des « droits resolveManually » sur l'UMA Adapter. Ces autorisations de résolution manuelle, a-t-il expliqué, pourraient contourner l'oracle et permettre à un attaquant de forcer n'importe quel résultat de marché sur Polymarket.
Ox Abdul a décrit ce à quoi aurait pu ressembler le « pire » en termes pratiques. Il a affirmé que l'attaquant aurait pu prendre de grandes positions sur des marchés spécifiques, puis signaler ces marchés pour une résolution manuelle, attendre la fenêtre de sécurité d'environ une heure, et finalement utiliser resolveManually pour résoudre les marchés en faveur de ses positions.
Suite à l'incident, Josh Stevens, un développeur principal chez Polymarket, a fourni plus tard un contexte supplémentaire via les réseaux sociaux. Stevens a attribué le problème à une clé privée compromise vieille de 6 ans, expliquant qu'elle était incluse dans une configuration de recharge interne — ainsi des fonds étaient envoyés à la clé pendant qu'elle restait active.
Il a ajouté que la clé a été renouvelée, toutes les permissions de production ont été révoquées, et la société transfère toutes les clés privées vers des clés gérées par KMS à l'avenir.
Lancement d'une enquête fédéraleAlors que l'incident technique se déroulait, Polymarket faisait également face à un examen réglementaire vendredi. Comme l'a rapporté Bitcoinist, le représentant James Comer, président de la Commission de surveillance et de réforme gouvernementale de la Chambre, a annoncé une enquête formelle sur les plateformes de marchés prédictifs Polymarket et Kalshi.
Comer a déclaré que la commission cherche à obtenir des informations auprès des PDG des deux sociétés concernant leurs efforts pour prévenir les délits d'initiés sur leurs plateformes.
Dans sa lettre, il a demandé des documents et des détails sur la manière dont les deux plateformes mettent en œuvre la vérification d'identité pour les titulaires de comptes nationaux et internationaux, appliquent les restrictions géographiques et détectent les activités de trading anormales pour aider à prévenir les délits d'initiés sur leurs plateformes mondiales.
Dans un développement distinct, Bloomberg a rapporté que Polymarket a nommé un représentant au Japon tout en se préparant à faire du lobbying pour l'autorisation des marchés prédictifs dans le pays. Selon des sources citées dans le rapport, l'objectif de Polymarket est d'obtenir l'approbation gouvernementale au Japon d'ici 2030.
Image vedette créée avec OpenArt, graphique de TradingView.com
Vous aimerez peut-être aussi
Le biographe de Trump signale un schéma 'suspect' dans les transactions boursières de la Maison Blanche
Mary Trump incendie son cousin "horrible" Don Jr. alors que Trump ne se montre pas à son mariage
Les noms de trois nouveaux accusés d'abus liés à Jeffrey Epstein révélés
