Un sèche-cheveux a "soufflé" 34 000 dollars de Polymarket

marsbitPublié le 2026-04-23Dernière mise à jour le 2026-04-23

Résumé

Un individu a utilisé un sèche-cheveux pour manipuler le capteur météorologique de l'aéroport de Paris-Charles de Gaulle (LFPG) les 6 et 15 avril 2026, provoquant une hausse artificielle des températures enregistrées. Ces données altérées ont été utilisées pour le règlement des marchés de prédiction sur les températures maximales quotidiennes à Paris sur Polymarket, permettant à l'attaquant de remporter 34 000 dollars. Le capteur, facilement accessible près des pistes, a été ciblé avec un appareil de chauffage portable, entraînant des pics de température de 4°C en quelques minutes sans correspondance dans les stations voisines. Polymarket, qui utilise une source de données unique sans mécanisme de vérification ou de correction, a réglé les marchés sur la base de ces valeurs erronées. Le compte responsable, créé 48 heures avant la première attaque, a rapidement transféré les gains via des mixers et des échanges décentralisés. Polymarket n'a pas annulé les paiements mais a discrètement changé sa source de données pour Paris-Le Bourget (LFPB) après l'incident. Cet événement met en lumière les vulnérabilités des marchés de prédiction dépendant de données physiques non sécurisées.

Auteur : 0x2333, The BlockBeats

Un sèche-cheveux, un capteur météorologique non surveillé, deux opérations minutieusement calculées.

Les 6 et 15 avril 2026, la sonde météorologique de Météo-France située à l'aéroport de Paris-Charles-de-Gaulle a été chauffée avec un appareil de chauffage portable, entraînant une augmentation anormale et brutale des relevés de température en peu de temps. La température réelle à l'aéroport Charles-de-Gaulle n'a pas connu une telle fluctuation, mais le marché de prédiction « Température maximale quotidienne à Paris » sur Polymarket a procédé à son règlement habituel. En deux opérations, un total de 34 000 dollars de gains a été transféré de la plateforme vers un compte anonyme ouvert seulement deux jours avant les faits.

Ce n'est pas une attaque cryptographique typique. Elle n'a exploité aucune vulnérabilité de contrat intelligent, ni ciblé aucun processus de gouvernance décentralisée. Le seul outil de l'attaque était un sèche-cheveux.

Une hausse de 4°C en 12 minutes, comment une sonde a trompé le marché mondial des prévisions ?

Entre 18h30 et 18h42 le 6 avril, les relevés de température de la station météo de Charles-de-Gaulle ont grimpé de 4°C en 12 minutes, atteignant un maximum de 22,5°C, avant de redescendre rapidement en 5 minutes. La température réelle à Paris ce jour-là n'a pas connu de fluctuation aussi violente, et les autres stations météorologiques à proximité n'ont enregistré aucune anomalie similaire.

Cette station météo (code : LFPG) est située en bordure de piste de l'aéroport Charles-de-Gaulle, près d'une zone publique adjacente à une route. Son accessibilité physique relative a rendu possible l'approche et l'intervention physique sur le capteur par le suspect.

Cette brève période de « chaleur » a justement correspondu à l'option « 21°C » sur Polymarket, un résultat auparavant presque ignoré, qui a été réglé sur « Oui » après que les données anormales aient été acceptées par la plateforme comme la température maximale du jour. Un compte inconnu a emporté environ 14 000 dollars.

Neuf jours plus tard, le 15 avril vers 21h30, le même scénario s'est presque exactement reproduit. Par une nuit nuageuse et sans vent, les relevés de température de Charles-de-Gaulle ont étrangement grimpé jusqu'à 22°C. La probabilité de l'option « 22°C » sur Polymarket est passée de 0,1 % à 95 % en seulement 30 minutes. Un second gain de plus de 20 000 dollars est allé au même compte.

Paul Marquis, fondateur du service français E-Meteo Service et météorologue, a fourni un jugement techniquement presque irréfutable : « La direction du vent et l'humidité relative n'ont subi aucun changement à ce moment, et les autres stations météorologiques environnantes n'ont enregistré aucune anomalie. Une intervention physique est l'explication la plus plausible, comme placer un appareil de chauffage près de la sonde du capteur. »

Météo-France a ensuite procédé à une inspection physique du capteur, y a trouvé des traces d'altération, et a officiellement porté plainte auprès de la Brigade de Gendarmerie des Transports Aériens de Roissy. L'accusation retenue est la « perturbation du fonctionnement d'un système de traitement automatisé de données ». Selon la loi française, ce délit est passible de 7 ans d'emprisonnement et de 300 000 euros d'amende.

Le profil du compte impliqué est tout aussi douteux. Il a été créé le 4 avril 2026, seulement 48 heures avant la première opération. Le capital initial n'était que de quelques dizaines de dollars, transférés via un exchange de cryptomonnaies. Il n'a presque participé qu'aux marchés du type « Météo de Paris », achetant spécifiquement des options de « températures élevées » à très faible probabilité. Après ses deux succès, les fonds ont été rapidement transférés via des mixers et des exchanges décentralisés, rendant le suivi sur la chaîne beaucoup plus difficile.

D'un côté, un sèche-cheveux domestique ordinaire, coûtant moins de 30 euros, de l'autre, un marché mondial de prédiction climatique dont le volume quotidien dépasse désormais 2 millions de dollars, un déséquilibre extrême entre le coût et le bénéfice de l'attaque.

Les données anormales ont été initialement détectées par des passionnés de météorologie locaux sur le forum Infoclimat. L'événement s'est ensuite propagé via la communauté crypto vers le monde anglophone, et des médias français Le Monde, Le Figaro et BFMTV ont suivi avec des articles. Polymarket n'a fait aucune déclaration publique officielle sur cet incident et n'a pas annulé les gains de 34 000 dollars déjà versés.

Vulnérabilité des règles : comment une lecture de capteur peut-elle décider de gains à six chiffres ?

Le véritable protagoniste de cet événement n'est pas tant le sèche-cheveux que le système de règlement du marché météo de Polymarket.

Les marchés météorologiques de Polymarket ont connu une croissance rapide ces dernières années, comptant désormais 173 marchés actifs, couvrant la température, les précipitations, les ouragans, les tornades, les tremblements de terre, les volcans et même les pandémies. Le mécanisme de règlement du marché « Température maximale quotidienne à Paris » est extrêmement simple : la source de données est verrouillée sur les relevés d'une station météorologique spécifique hébergée par le site Wunderground.

Avant cet incident, cette station était celle de l'aéroport Charles-de-Gaulle (code LFPG), avec la température arrondie au degré Celsius entier. Le point le plus crucial est que le marché est réglé immédiatement après la finalisation des données, et « sans tenir compte de toute révision ultérieure des données ».

Ce dernier point signifie que même si Météo-France découvre après coup des anomalies et corrige les historiques, Polymarket continuera à payer les gains en fonction des lectures originales contaminées. Les règles sont clairement écrites et strictement appliquées.

La vulnérabilité apparaît ainsi en trois points :

Premièrement, un point de défaillance unique. Le règlement de tout le pool de gains à six chiffres dépend entièrement de la lecture d'un seul capteur. Polymarket n'a pas conçu de mécanisme de moyenne pondérée multi-stations, de comparaison redondante ou de coupure en cas de valeur aberrante. La prétendue « source de données » est cette unique sonde métallique en bord de piste à Charles-de-Gaulle.

Deuxièmement, l'accessibilité physique. La station météo de Charles-de-Gaulle est située près du bord de la piste, à côté d'une zone publique longeant une route, accessible à toute personne pouvant s'approcher à quelques mètres de la sonde. Ce détail géographique fait passer le seuil d'« intervention physique » d'une possibilité théorique à une opération pratiquement sans coût.

Troisièmement, la rigidité du mécanisme de règlement. L'absence de révision ultérieure signifie qu'une fois l'attaque réussie, il n'y a aucune possibilité d'« annulation ». Les règles garantissent d'un côté la certitude du règlement, mais de l'autre garantissent aussi qu'une manipulation réussie est irréversible.

Victor, analyste chez Fibo Crypto, a donné à cette technique un nom d'une beauté technique certaine : « Attaque d'oracle physique ». Contrairement aux précédentes « attaques d'oracle numérique » ciblant les votes de gouvernance UMA et manipulant les résultats de l'oracle par un vote massif de jetons, l'attaque d'oracle physique contourne toute la logique on-chain, agissant directement sur le premier kilomètre du pipeline de données – la sonde métallique dans le monde réel.

Le 17 avril, deux jours après la révélation de l'incident, Polymarket a discrètement modifié une règle, changeant la source de données de règlement du marché météo de Paris de l'aéroport Charles-de-Gaulle (LFPG) vers l'aéroport Paris-Le Bourget (LFPB). Ce changement n'a été accompagné d'aucun communiqué officiel, d'aucune explication technique publique, ni d'aucune réponse concernant les deux manipulations déjà survenues.

Changer de sonde est bien plus simple que d'admettre publiquement une vulnérabilité. Le marché météo de Polymarket était initialement conçu comme un miroir, reflétant le jugement collectif du marché sur l'avenir. Mais lorsque l'image dans le miroir devient suffisamment précieuse, que les cotes sont suffisamment raides et que la sonde est suffisamment accessible, il y aura toujours quelqu'un pour s'approcher avec un sèche-cheveux à 30 euros et y souffler le résultat qu'il désire.

Questions liées

QQuel a été l'outil principal utilisé pour manipuler les données de température à l'aéroport Charles de Gaulle ?

AUn sèche-cheveux portable, un appareil de chauffage domestique ordinaire coûtant moins de 30 euros.

QCombien d'argent au total a été retiré de Polymarket à la suite de ces deux manipulations ?

A34 000 dollars de prix ont été transférés vers un compte anonyme.

QQuelle est la faille principale dans le mécanisme de règlement de Polymarket qui a permis cette attaque ?

ALe règlement dépendait d'une seule source de données (une seule sonde météo à l'aéroport CDG), sans mécanisme de vérification, de pondération à partir de plusieurs stations ou d'interruption en cas de valeur aberrante. De plus, les règles stipulaient que les révisions ultérieures des données n'étaient pas prises en compte.

QQuelle nouvelle terminologie a été proposée pour décrire ce type d'attaque ?

AVictor, un analyste de Fibo Crypto, a nommé cette méthode 'attaque par oracle physique' (physical oracle attack).

QQuelle action Polymarket a-t-il prise après la découverte de la manipulation ?

APolymarket a silencieusement modifié la source de données de règlement pour le marché météorologique de Paris, passant de la station de l'aéroport Charles-de-Gaulle (LFPG) à celle de l'aéroport Paris-Le Bourget (LFPB), sans faire d'annonce publique officielle.

Lectures associées

Guide du mode Goal de Codex : comment inciter l'IA à poursuivre un objectif spécifique

**Titre : Guide de l'utilisation du mode Goal de Codex : Comment faire avancer l'IA vers un objectif concret** **Résumé en français :** Le mode Goal (/goal) de Codex transforme l'outil d'un assistant codant à requêtes ponctuelles en un agent exécutant capable de travailler de manière autonome sur un objectif à long terme, pendant des heures ou des jours. La clé du succès réside dans la définition d'un **critère de sortie clair et vérifiable** (ex : "réduire le temps de déploiement de 30%", "LCP sous 2.5 secondes"), permettant à Codex de savoir quand s'arrêter. Il est crucial de fournir des **orientations et des outils** pour guider ses efforts et mesurer les progrès dans un **environnement de test réaliste**, proche de la production. L'article met en garde contre les **objectifs visuels** purs ("reproduire un UI pixel-perfect"), qui peuvent mener à des impasses. Il recommande de les décomposer en spécifications fonctionnelles ou en checklist. Pour les tâches longues, un **suivi des progrès** via commits, PR brouillons, rapports ou notifications est essentiel. Enfin, une fois l'objectif atteint, une **phase de revue et de nettoyage** du code est nécessaire pour éliminer les tentatives infructueuses laissées en chemin. Le mode Goal représente ainsi un changement de paradigme : le développeur ne se contente plus de rédiger des prompts, mais **définit des objectifs, configure l'environnement et gère un agent d'exécution** pour des projets ambitieux.

marsbitIl y a 25 mins

Guide du mode Goal de Codex : comment inciter l'IA à poursuivre un objectif spécifique

marsbitIl y a 25 mins

De l’Ethereum à l’IA : que signifie le « CROPS » si souvent mentionné par Vitalik ?

Ces derniers temps, Vitalik Buterin a fréquemment mentionné le concept de « CROPS », un acronyme pour Censorship Resistance, Capture Resistance, Open Source, Privacy et Security (Résistance à la censure, Résistance à la capture, Open Source, Confidentialité et Sécurité). Au-delà d'une simple vision pour Ethereum, ce cadre définit des principes fondamentaux pour préserver la souveraineté des utilisateurs dans un environnement numérique de plus en plus centralisé, notamment avec l'avènement de l'IA. Initialement formalisé dans un mandat de l'Ethereum Foundation, CROPS guide les efforts pour garantir que les utilisateurs puissent interagir sans dépendre de plateformes uniques, sans perdre le contrôle final et sans être bloqués arbitrairement. Avec l'intégration croissante de l'IA dans la gestion des portefeuilles et l'exécution automatisée, ces principes deviennent cruciaux pour empêcher que les agents IA ne deviennent des "boîtes noires" centralisées ayant accès aux données sensibles et aux actifs des utilisateurs. Vitalik souligne ainsi la convergence entre une « couche d'accès Ethereum CROPS » et une « IA CROPS ». L'enjeu commun est de permettre aux utilisateurs d'accéder à des services (comme les appels à des modèles linguistiques distants ou la lecture de données blockchain via des RPC) sans divulguer leurs informations personnelles, leurs intentions ou leurs identités. Des technologies comme les preuves à connaissance nulle (ZK) pourraient y contribuer. En somme, CROPS n'est pas un slogan abstrait mais un filtre pratique pour le développement futur. Il positionne Ethereum et les écosystèmes Web3 comme des infrastructures essentielles pour un futur numérique où, malgré la puissance croissante de l'IA, les individus conservent le contrôle, la compréhension et la propriété de leur vie numérique. La confidentialité et la sécurité doivent être conçues dès l'origine, et non rajoutées après coup.

marsbitIl y a 28 mins

De l’Ethereum à l’IA : que signifie le « CROPS » si souvent mentionné par Vitalik ?

marsbitIl y a 28 mins

Oubliez le Bitcoin, que signifie l'or pour la saison des altcoins ?

L’article suggère que le prochain « altcoin season » (saison des altcoins) pourrait être déclenché par un signal inattendu : l’or. L’analyse technique indique que l’or pourrait connaître un rebond jusqu’à la zone des 4 800 dollars, suivi d’une correction plus profonde. Ce rebond précéderait un mouvement similaire sur le marché des altcoins, attirant l’attention des investisseurs particuliers (FOMO) avant une correction violente. Cette phase de capitulation marquerait alors le véritable début de la saison des altcoins. Parallèlement, la capitalisation totale du marché des cryptomonnaies (hors stablecoins) teste actuellement une ligne de support ascendant, autour de 2 040 milliards de dollars, tandis que la dominance du Bitcoin est à 57,8 %. L’article conclut que le marché pourrait avoir besoin d’une dernière purge émotionnelle, potentiellement liée au mouvement de l’or, avant que la saison des altcoins ne débute véritablement.

bitcoinistIl y a 36 mins

Oubliez le Bitcoin, que signifie l'or pour la saison des altcoins ?

bitcoinistIl y a 36 mins

Coinbase – Un Meilleur Marché Permet des Hypothèques Garanties par Bitcoin et l'USDC

Better Mortgage, en partenariat avec Coinbase, propose désormais un nouveau produit de prêt hypothécaire acceptant le Bitcoin et l'USDC comme garantie. Le premier prêt, garanti par Fannie Mae, a été accordé à un couple du Michigan. Le produit se distingue par l'absence de liquidation du collatéral crypto, qui reste en garde pendant toute la durée du prêt sans être vendu en cas de baisse de valeur. Avec une liste d'attente déjà ouverte et un volume prévu de 250 millions de dollars, le lancement à l'échelle nationale est prévu pour cet été, avec des plans d'extension à d'autres actifs numériques à l'avenir.

bitcoinistIl y a 1 h

Coinbase – Un Meilleur Marché Permet des Hypothèques Garanties par Bitcoin et l'USDC

bitcoinistIl y a 1 h

Tom Lee prévoit toujours une hausse de l'ETH à 250 000 $, y croyez-vous toujours ?

Tom Lee, directeur de recherche chez Fundstrat et président de Bitmine, réitère sa prédiction audacieuse selon laquelle le prix de l'Ethereum (ETH) pourrait atteindre 250 000 dollars. Cette projection s'appuie sur deux moteurs principaux : l'intégration de l'intelligence artificielle (IA) et la tokenisation des actifs, qui transformeront fondamentalement les infrastructures financières en permettant des paiements instantanés entre machines. Lors de la conférence Proof of Talk à Paris, Lee a expliqué que Bitmine, l'un des plus grands détenteurs institutionnels d'ETH, vient d'augmenter ses réserves à près de 5,4 millions d'ETH, soit environ 4,47% de l'offre en circulation. Il souligne un changement de gouvernance du réseau, où des validateurs institutionnels comme Bitmine prennent le relais de la Fondation Ethereum, dont les réserves ne représentent plus que 0,1% de l'offre. Lee a également annoncé que Bitmine est désormais éligible pour intégrer l'indice Russell 1000, une étape majeure qui pourrait attirer des investisseurs institutionnels. Il affirme que le modèle économique de staking d'entreprise de Bitmine offre des rendements bien supérieurs à la simple détention d'ETH. Malgré la volatilité actuelle du marché, avec l'ETH autour de 1 906 dollars, Lee considère que le pessimisme ambiant marque un creux de marché pour le Bitcoin et l'Ethereum.

Foresight NewsIl y a 1 h

Tom Lee prévoit toujours une hausse de l'ETH à 250 000 $, y croyez-vous toujours ?

Foresight NewsIl y a 1 h

Trading

Spot

Futures

Articles tendance

Comment acheter T

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Threshold Network Token (T) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Threshold Network Token (T).Solde ：utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers ：pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P ：tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Threshold Network Token (T)Après avoir acheté vos Threshold Network Token (T), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Threshold Network Token (T)Tradez facilement Threshold Network Token (T) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

543 vues totalesPublié le 2024.12.10Mis à jour le 2026.06.02

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de T (T) sont présentées ci-dessous.