Audit contractuel réussi, thermomètre échoué : le moment de la « vulnérabilité physique » de Polymarket

Auteur original : Sanqing, Foresight News

Selon le journal français Le Monde, les 6 et 15 avril, les capteurs météorologiques de l'aéroport de Paris-Charles-de-Gaulle ont présenté deux anomalies successives : la température a grimpé de plus de 3°C en quelques minutes avant de redescendre, comme si rien ne s'était passé. À chaque anomalie, quelqu'un avait parié à l'avance sur l'intervalle de température improbable correspondant sur Polymarket, emportant au total environ 34 000 dollars à partir d'une mise initiale de quelques dizaines de dollars. Le compte ayant placé le premier pari avait été créé seulement deux jours avant l'anomalie.

Météo-France a ensuite procédé à une inspection physique des capteurs, y a trouvé des traces d'intervention humaine et a déposé une plainte pénale auprès de la gendarmerie de l'aéroport de Charles-de-Gaulle pour « perturbation d'un système automatisé de traitement de données ». Selon une analyse publiée sur le forum AR15, sur la base de l'article 323-2 du code pénal français, et Météo-France étant un établissement public, les accusations encourues peuvent aller jusqu'à 7 ans d'emprisonnement et 300 000 euros d'amende.

La sophistication technique de cette escroquerie est proche de zéro

La chaîne de règlement du marché des températures parisiennes de Polymarket est la suivante : capteur physique → Météo-France → Weather Underground → contrat Polymarket.

Dans cette chaîne, la partie contrat intelligent est audité, la transmission des données est automatisée, et la collecte par Weather Underground est en temps réel. Le seul point faible se trouve au tout début : un thermomètre planté au bord de la route de l'aéroport, sans clôture, sans caméra de surveillance, auquel n'importe qui peut s'approcher.

L'outil complet dont l'attaquant avait besoin était un sèche-cheveux fonctionnant sur batterie.

Polymarket se base sur la température maximale de la journée, ce qui signifie qu'il suffit de créer un pic de température bref pour réécrire le record officiel du jour.

Agir en soirée ou la nuit est plus idéal, la température maximale diurne étant généralement déjà passée, les relevés ultérieurs ayant plus de chances de devenir le nouveau record. Le suspect a donc choisi 19h le 6 avril et 21h30 le 15 avril.

La procédure opératoire était probablement : acheter à l'avance l'option à faible probabilité, se rendre près du capteur de nuit, allumer le sèche-cheveux, attendre que la lecture dépasse la température cible, arrêter, partir, et attendre le règlement sur la chaîne.

L'opération entière ne requiert aucune compétence technique, juste une certaine compréhension du mécanisme de règlement et une paire de jambes prêtes à marcher jusqu'au bord de l'aéroport.

La manière dont Polymarket a traité le problème : changer discrètement de thermomètre

Polymarket n'a publié aucune déclaration officielle à ce sujet. La seule chose qu'il ait faite a été de changer la source des données de règlement du marché des températures parisiennes de l'aéroport de Charles-de-Gaulle (LFPG) à celui du Bourget (LFPB).

Les gains des deux comptes n'ont pas été annulés, le marché s'est réglé normalement selon les enregistrements sur la chaîne.

Le capteur de l'aéroport du Bourget est également installé en plein air, sans protection physique non plus. Changer d'adresse n'a rien résolu, le problème reste entier.

Ce n'est pas non plus la première controverse pour Polymarket. En octobre 2024, un trader français a été accusé d'avoir manipulé les cotes électorales de Trump avec 4 comptes liés, rapportant un profit présumé de 85 millions de dollars ; en mars 2025, une baleine a utilisé 5 millions de jetons pour forcer un vote de gouvernance UMA, faisant clôturer un marché controversé par « Oui », impliquant une somme de 7 millions de dollars ; en janvier et mars 2026, des paris anormaux sont apparus sur des marchés liés au Venezuela et à l'Iran, ce dernier ayant déjà attiré l'attention du Congrès américain...

Les fois précédentes nécessitaient au moins quelques millions de dollars de mise ou de jetons de gouvernance ; cette fois, le coût n'était qu'un sèche-cheveux.

Le contrat est audité, pas le thermomètre

Cette histoire a un sens de l'humour absurde. Un marché prédictif fonctionnant sur une blockchain, vanté pour sa décentralisation et son immuabilité, s'est fait maltraiter deux fois par un sèche-cheveux sur batterie. La cryptographie n'a été d'aucune aide dans cette affaire, car elle ne vérifie jamais si les données d'entrée sont réelles.

Polymarket compte actuellement 173 marchés météorologiques actifs. Pour la plupart de ces marchés, le règlement dépend d'un unique capteur physique situé quelque part.

Lorsqu'un capteur est utilisé comme un outil météorologique, sa crédibilité vient du fait que personne n'a de motivation à le falsifier. Polymarket lui a donné une nouvelle structure motivationnelle, mais ne lui a apporté aucune protection physique nouvelle.

Le thermomètre de Météo-France a consciencieusement enregistré la température qu'il a détectée. Il ignorait simplement qu'il était devenu un terminal de règlement financier.