Un exploit de 3 millions de dollars touche Polymarket : les utilisateurs recevront des remboursements intégraux après une violation par un tiers

TheNewsCryptoPublié le 2026-06-26Dernière mise à jour le 2026-06-26

Résumé

La plateforme de marché de prédiction Polymarket a été victime d'une exploitation ayant entraîné le vol d'environ 3 millions de dollars en cryptomonnaies. L'incident, attribué à un script malveillant injecté via un fournisseur tiers compromis, a touché une quinzaine de portefeuilles. Les fonds, principalement en stablecoin pUSD, ont été transférés sur Ethereum. Polymarket souligne que ses contrats intelligents centraux n'ont pas été violés, qualifiant l'attaque de piratage de la chaîne d'approvisionnement. La plateforme a contenu la menace, supprimé la dépendance affectée et s'est engagée à rembourser intégralement les utilisateurs impactés. Cet événement survient moins de deux mois après un autre incident de sécurité, mettant en lumière les risques croissants liés aux dépendances logicielles tierces dans le secteur cryptographique.

La plateforme de marché de prédiction, dont les utilisateurs ont été impactés par un exploit sur son site web ayant entraîné le vol d'environ 3 millions de dollars d'actifs cryptographiques, recevra un remboursement intégral de la part de Polymarket. L'entreprise affirme que l'incident n'est pas dû à un problème lié à l'architecture sous-jacente de la plateforme, mais à un logiciel malveillant qui a été ajouté à l'interface utilisateur (front-end) de la plateforme par un fournisseur tiers compromis.

Le script malveillant n'a été distribué qu'à quelques individus sélectionnés. Il a permis à l'attaquant de drainer les fonds des portefeuilles des utilisateurs lors de leur interaction avec l'interface affectée. Polymarket a ensuite déclaré avoir identifié la cause du problème, isolé la dépendance et commencé à contacter les utilisateurs concernés.

« Notre équipe a découvert qu'un fournisseur tiers avait été compromis, injectant un script malveillant dans notre interface pour certains utilisateurs », a déclaré l'entreprise dans un communiqué. « Nous l'avons contenu, supprimé la dépendance affectée et remboursons intégralement les utilisateurs impactés. »

Environ 15 portefeuilles impactés alors que les fonds volés étaient transférés vers Ethereum

On estime que moins de 15 comptes utilisateurs ont été affectés par l'attaque. Le stablecoin pUSD de Polymarket, que l'attaquant a transféré (bridgé) de Polygon vers Ethereum avant de l'échanger contre environ 1 893 ETH, constituait la majorité des actifs volés.

Plutôt qu'une violation directe des contrats intelligents de Polymarket, les chercheurs en sécurité ont qualifié cet événement de piratage de la chaîne d'approvisionnement (supply chain hack). Cette distinction montre que le protocole central de la plateforme n'a pas été affecté. De plus, l'attaque a utilisé du code tiers piraté sur le site web pour cibler les clients.

Bien que l'entreprise reconnaisse que la vulnérabilité a été corrigée, aucune information n'est disponible concernant le fournisseur ayant subi cette attaque. Polymarket n'a pas non plus effectué d'analyse technique complète de l'attaque.

Un second incident de sécurité soulève de nouvelles inquiétudes

Moins de deux mois se sont écoulés depuis un autre problème de sécurité impliquant un portefeuille sous le contrôle de l'entreprise, utilisé pour distribuer les récompenses aux utilisateurs. Une clé privée compromise serait à l'origine de l'incident précédent, ayant causé des pertes d'environ 700 000 dollars.

L'incident actuel souligne les risques croissants liés aux dépendances logicielles tierces. Bien que la volonté de Polymarket d'indemniser les utilisateurs impactés puisse aider à restaurer la confiance, les attaques sur la chaîne d'approvisionnement deviennent une préoccupation majeure de sécurité pour le secteur crypto, qui dépend de plus en plus de fournisseurs de services extérieurs.

Points forts du marché crypto

Cardano (ADA) envoie des signaux mitigés : une cassure se prépare-t-elle ou une nouvelle chute est-elle en vue ?

TagsETHHackPolymarketmarché de prédiction

Questions liées

QQu'est-ce qui a causé la perte d'environ 3 millions de dollars d'actifs cryptographiques sur Polymarket ?

ALa perte a été causée par un script malveillant injecté dans l'interface frontale de la plateforme par un fournisseur tiers compromis, et non par une vulnérabilité de l'architecture centrale de Polymarket.

QCombien de portefeuilles d'utilisateurs ont été affectés par cette attaque ?

AMoins de 15 portefeuilles d'utilisateurs ont été affectés par cette attaque.

QQue va faire Polymarket pour les utilisateurs impactés par cette attaque ?

APolymarket va rembourser intégralement tous les utilisateurs impactés par cette attaque.

QComment les chercheurs en sécurité ont-ils caractérisé cet incident ?

ALes chercheurs en sécurité ont caractérisé cet incident comme une attaque de la chaîne d'approvisionnement (supply chain hack), ciblant les clients via du code tiers piraté sur le site web, et non comme une violation directe des contrats intelligents de Polymarket.

QQuel était le montant approximatif des pertes liées à l'incident de sécurité précédent sur Polymarket, mentionné dans l'article ?

AL'incident de sécurité précédent, survenu il y a moins de deux mois, a causé des pertes d'environ 700 000 dollars.

Lectures associées

Comment détecter les vidéos générées par IA ? Revue d'un système de détection dynamique, traçable et explicable

Ces deux dernières années, les modèles de génération vidéo par IA (comme Sora, Veo, Kling) ont connu une évolution fulgurante, produisant des séquences réalistes et complexes. En parallèle, la détection de ces contenus synthétiques accuse un retard préoccupant, alors que les vidéos truquées prolifèrent sur les réseaux sociaux, semant la confusion et la désinformation. Face à cette urgence, une étude récemment publiée propose une refonte complète de l'objectif de détection. Il ne s'agit plus simplement de classer une vidéo comme "vraie" ou "fausse", mais de procéder à une **vérification de la fidélité factuelle** : vérifier si le contenu (qui, quand, où, quoi) est cohérent avec la réalité, tant au niveau perceptif que cognitif, et s'il respecte les lois physiques et les connaissances du monde. L'étude catégorise les vidéos générées par IA en trois paradigmes : 1. **Manipulation locale (LMV)** : Altération d'une partie d'une vidéo réelle (deepfake). 2. **Édition audio-visuelle (AVE)** : Modification des relations entre le son et l'image (synchronisation labiale, doublage). 3. **Synthèse générative complète (GVS)** : Génération de bout en bout à partir de texte ou d'images (modèles de type "simulateur de monde"). Pour relever ce défi, les auteurs proposent un cadre de détection à **double perspective (visuelle et langagière)** organisé en quatre couches progressives : * **Couche 1 - Indices visuels bas-niveau** : Analyse des artefacts, du bruit, des signaux physiologiques. * **Couche 2 - Cohérence spatio-temporelle** : Vérification de la fluidité des mouvements et de la continuité physique. * **Couche 3 - Cohérence multimodale** : Vérification de l'alignement entre l'image, le son et les sous-titres. * **Couche 4 - Raisonnement guidé par le langage** : Évaluation de la conformité du contenu avec les faits, la logique et les connaissances du monde réel. L'évolution montre un glissement des méthodes de détection des couches basses (visuelles) vers les couches hautes (langagières et raisonnées), à mesure que les vidéos synthétiques deviennent plus parfaites en apparence. Pour être crédible et utile, un système de détection futur doit évoluer vers un processus **dynamique, traçable et explicable**. Il doit fournir des preuves structurées, combiner les perspectives visuelle et langagière, et fonctionner de manière robuste face à la diversité des modèles de génération et aux transformations des plates-formes. Ce défi nécessitera une collaboration interdisciplinaire entre la vision par ordinateur, le traitement du langage et la modélisation du monde.

marsbitIl y a 35 mins

Comment détecter les vidéos générées par IA ? Revue d'un système de détection dynamique, traçable et explicable

marsbitIl y a 35 mins

NVIDIA MoE Nouveau Open Source : Un Import Ligne, Accélération du Fine-tuning de 3.7x

NVIDIA a open-sourcé NeMo AutoModel, une solution permettant d'accélérer jusqu'à 3,7 fois le réglage fin (fine-tuning) des grands modèles de type MoE (Mixture of Experts). Compatible avec l'API de Hugging Face Transformers v5, elle ne nécessite qu'une simple ligne d'importation pour obtenir ces gains de performances. Les expériences menées sur des modèles comme Qwen3-30B-A3B montrent une augmentation du débit d'entraînement de 3,4 à 3,7 fois et une réduction de 29% à 32% de la mémoire GPU utilisée. Cette optimisation repose sur trois technologies clés : le parallélisme d'experts (Expert Parallelism) pour répartir la charge mémoire, DeepEP pour fusionner calculs et communications, et TransformerEngine pour accélérer les opérations de base du Transformer. Ainsi, NeMo AutoModel offre une mise à niveau transparente pour les utilisateurs de Transformers v5, permettant un réglage fin plus rapide et plus efficace des modèles MoE à grande échelle sans modifications majeures du code. Le code et la documentation sont disponibles sur GitHub.

marsbitIl y a 38 mins

NVIDIA MoE Nouveau Open Source : Un Import Ligne, Accélération du Fine-tuning de 3.7x

marsbitIl y a 38 mins

Personne n'aurait cru que l'audit de sécurité serait la première application concrète de l'IA x Crypto

Les données montrent une baisse significative de la valeur totale verrouillée (TVL) dans la DeFi, tandis que les piratages et les pertes financières augmentent, atteignant environ 942 millions de dollars en 2026. L'émergence d'outils d'IA avancés, comme Claude Mythos, réduit considérablement le coût et l'expertise nécessaires pour identifier les vulnérabilités dans les contrats intelligents, transformant ainsi le paysage de la sécurité. Les attaquants utilisent désormais l'IA pour scanner massivement les contrats, y compris les anciens, rendant les rapports d'audit traditionnels obsolètes en quelques minutes. Des protocoles majeurs comme Drift Protocol et KelpDAO, pourtant audités, ont été compromis via des attaques d'ingénierie sociale ou des failles de configuration, démontrant les limites des audits purement techniques. Face à cette menace, la demande d'audits défensifs augmente, devenant même une condition réglementaire. Les entreprises d'audit doivent évoluer, intégrant l'IA dans leurs processus pour offrir une surveillance continue et une détection en temps réel, plutôt que des rapports ponctuels. Des outils comme Firepan ont déjà prouvé leur efficacité en découvrant des vulnérabilités complexes manquées par les audits humains, comme dans Curve Finance. En conclusion, l'ère de la sécurité garantie par un seul audit est révolue. La sécurité devient une infrastructure nécessitant un investissement constant. Les acteurs qui réussiront à adapter leur modèle commercial et à intégrer pleinement l'IA dans une approche de sécurité proactive survivront à cette transition.

marsbitIl y a 42 mins

Personne n'aurait cru que l'audit de sécurité serait la première application concrète de l'IA x Crypto

marsbitIl y a 42 mins

Personne n'aurait pensé que la première application pratique de l'IA x Crypto serait l'audit de sécurité

Les données montrent une baisse de 39% de la valeur totale verrouillée (TVL) dans la finance décentralisée (DeFi) depuis début 2026, parallèlement à une recrudescence des piratages ayant causé des pertes d'environ 9,42 milliards de dollars. L'émergence de l'IA, notamment avec des modèles comme Claude Mythos, bouleverse le secteur de l'audit de sécurité. Les attaquants utilisent désormais des outils d'IA pour identifier des vulnérabilités dans les contrats intelligents à moindre coût et à grande échelle, rendant les anciens rapports d'audit obsolètes en quelques minutes. Des protocoles majeurs comme Drift Protocol et KelpDAO, pourtant audités, ont été compromis via des failles logicielles ou des erreurs de configuration. Cette pression force une adaptation. À court terme, les projets demandent des ré-audits défensifs selon de nouveaux standards. Les auditeurs traditionnels, comme en témoigne la fermeture de Code4rena, doivent évoluer. Ils développent des systèmes d'audit assistés par IA (comme Firepan) qui ont déjà découvert des vulnérabilités critiques manquées par des audits humains, par exemple chez Curve Finance et Zcash. L'avenir de l'audit réside dans une transition d'un service ponctuel vers une surveillance continue, une vérification formelle et une intégration dès la phase de développement. La sécurité devient une infrastructure nécessitant un investissement constant, et seules les entreprises d'audit capables de se réinventer face à l'IA survivront.

链捕手Il y a 49 mins

Personne n'aurait pensé que la première application pratique de l'IA x Crypto serait l'audit de sécurité

链捕手Il y a 49 mins

Qui paye la facture de la liesse sur le papier de 64 milliards de dollars ?

Le prix du Bitcoin a franchi le seuil critique des 60 000 dollars, atteignant son plus bas niveau depuis octobre 2024. Les données on-chain révèlent que les institutions et les « baleines » ont vendu 45 000 BTC en huit jours, entraînant également une chute des actions liées aux cryptomonnaies. L'article s'interroge sur la solidité des entreprises cotées ayant massivement investi leur bilan en Bitcoin. La plus exposée, Strategy (ex-MicroStrategy), détient 847 000 BTC achetés pour 64,1 milliards de dollars à un coût moyen de 75 600 dollars. Avec le Bitcoin sous 60 000 dollars, elle est en perte latente de plus de 20%. Son action se négocie avec une décote importante par rapport à la valeur de ses actifs Bitcoin (NAV), indiquant une défiance du marché. D'autres entreprises comme Metaplanet (Japon) ou Solmate (ex-Brera Holdings, ayant tout misé sur Solana) subissent des pertes latentes encore plus importantes, voire un effondrement de leur cours boursier et des crises internes. Contrairement aux craintes d'un effet de levier provoquant des liquidations forcées immédiates, le risque pour ces sociétés est différent. Il réside dans un "effet de roue financière" qui s'enraye. Strategy, par exemple, finance ses acquisitions par de la dette (obligations convertibles) et des actions privilégiées. Si le prix du Bitcoin reste durablement sous son coût d'acquisition, la société pourrait être confrontée à partir de l'automne 2027 à une crise de trésorerie. Les détenteurs d'obligations pourraient exiger leur remboursement en cash, ce qui forcerait potentiellement Strategy à vendre une partie de son Bitcoin pour obtenir des liquidités, créant une pression vendeuse massive sur le marché. La nouvelle norme comptable ASU 2023-08, qui oblige à comptabiliser le Bitcoin à sa juste valeur, amplifie la volatilité. En hausse, elle gonfle artificiellement les bénéfices ; en baisse, comme au premier trimestre 2026 où Strategy a enregistré une perte latente de 14,46 milliards de dollars, elle génère d'énormes pertes comptables. Cela pourrait conduire à l'exclusion de ces sociétés des principaux indices boursiers, déclenchant des ventes forcées par les fonds indiciels. En résumé, le modèle d'entreprise "trésorerie Bitcoin" n'échappe pas au risque de liquidation. Il le transforme simplement d'une menace immédiate liée au prix en une crise de dette différée dans le temps. La véritable épreuve pourrait se jouer à l'automne 2027.

marsbitIl y a 1 h

Qui paye la facture de la liesse sur le papier de 64 milliards de dollars ?

marsbitIl y a 1 h

Trading

Spot
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow