Polymarket : Une intrusion externe coûte 3 millions de dollars à la plateforme

Un fournisseur tiers compromis a permis à des pirates d’injecter un code malveillant sur l’interface de Polymarket, dérobant environ 3 millions de dollars à plus de 11 utilisateurs. La plateforme de marchés prédictifs a maîtrisé l’incident et annoncé le remboursement intégral des victimes. Dans un secteur sous surveillance croissante, la faille ravive les questions sur la sécurité des couches frontales.

Comment les pirates ont contourné les défenses de Polymarket ?

La firme de sécurité blockchain Peckshield a chiffré le préjudice à 3 millions de dollars, répartis sur au moins 11 victimes. Pourtant, Polymarket n’a pas subi de brèche directe. Les attaquants ont ciblé un fournisseur tiers dont le code était diffusé via l’interface web de la plateforme, injectant un script frauduleux qui invitait les utilisateurs à valider de fausses transactions.

Ce type d’attaque, dit de « compromission de la chaîne d’approvisionnement », est particulièrement redouté dans l’industrie crypto. Plutôt que de s’attaquer aux systèmes d’une plateforme directement sécurisée, les hackers remontent jusqu’à ses dépendances logicielles. 

Les visiteurs qui chargeaient la page compromise voyaient apparaître des demandes de signature d’apparence légitime, qui donnaient en réalité le contrôle de leurs portefeuilles aux attaquants.

Selon Polymarket elle-même, la plateforme a supprimé la dépendance concernée et maîtrise désormais entièrement l’incident. Les marchés on-chain n’ont jamais exposé les fonds bloqués ; seuls les utilisateurs ayant approuvé les transactions frauduleuses ont vu leurs portefeuilles se vider.

Un secteur sous pression réglementaire et sécuritaire

L’incident survient alors que les marchés de prédiction traversent une période de scrutin accru. Polymarket et son concurrent Kalshi ont enregistré un mois d’avril 2026 record, et Polymarket revendique plus de 100 millions de transactions à ce jour. Cette visibilité attire les régulateurs autant que les attaquants.

Côté régulation, la CFTC a récemment engagé une action judiciaire contre le Kentucky, qui tente d’appliquer ses propres règles aux marchés prédictifs en les assimilant à des paris sportifs, une bataille de compétences entre autorité fédérale et législateurs locaux qui illustre les tensions réglementaires persistantes autour des plateformes comme Polymarket et Kalshi. 

La plateforme avait par ailleurs déployé les outils de surveillance de Chainalysis pour renforcer l’intégrité de ses marchés. Ce hack de juin ajoute la sécurité opérationnelle à une liste de préoccupations déjà chargée.

Ce hack démontre une réalité bien connue des protocoles DeFi et des plateformes d’échange : la robustesse des contrats intelligents ne protège pas des failles qui s’installent en amont, dans la couche visible. Polymarket gère la crise avec des remboursements rapides, mais la confiance dans la sécurité des interfaces web reste le maillon faible du secteur.