Polymarket piraté : 3,1 millions envolés
Une cyberattaque a touché Polymarket, plateforme de prédictions en ligne, entraînant une perte estimée à 3,1 millions de dollars en cryptomonnaies pour plusieurs utilisateurs. L’entreprise affirme que l’incident provient d’un fournisseur logiciel externe compromis et non d’une faille dans son infrastructure interne.
Une attaque révélée par des transactions suspectes
Plusieurs utilisateurs ont signalé des transactions inhabituelles, puis la disparition de fonds liés à leurs portefeuilles de cryptomonnaies. Ces signalements ont progressivement montré une cyberattaque visant l’interface utilisée par les visiteurs de Polymarket.
Selon l’entreprise de sécurité spécialisée dans la blockchain CertiK, onze comptes auraient été directement touchés par l’opération. Le montant total des pertes est estimé à 3,1 millions de dollars en cryptomonnaies. Après le vol, les fonds auraient été répartis entre plusieurs portefeuilles numériques, une méthode qui rend leur suivi plus complexe. Ce type de dispersion n’efface pas nécessairement les traces, mais il complique le travail d’identification et de récupération.
Un fournisseur externe au centre de l’incident
Polymarket a indiqué sur le réseau social X que l’origine de l’attaque ne venait pas d’une faille dans ses contrats intelligents, ni d’une compromission de son infrastructure. Selon la plateforme, un fournisseur logiciel externe aurait été piraté. Cette compromission aurait permis à du code malveillant d’être introduit dans l’interface visible du site.
Concrètement, les utilisateurs auraient été exposés à une page altérée, capable de leur faire approuver sans le comprendre des transactions dangereuses. En signant ces opérations, ils auraient donné aux pirates l’accès à leurs portefeuilles de cryptomonnaies.
L’incident est décrit comme une attaque par la chaîne d’approvisionnement. Cette méthode consiste à ne pas viser directement la plateforme finale, mais à compromettre un fournisseur ou un outil utilisé par celle-ci. Une fois ce fournisseur atteint, les pirates peuvent toucher les utilisateurs de la plateforme ciblée sans avoir besoin de briser ses protections principales.
Mais le fait que l’attaque soit venue d’un fournisseur externe n’annule pas l’impact financier subi par les victimes, ni les interrogations sur la sécurité globale de l’expérience proposée par la plateforme.
Après la découverte de l’attaque, Polymarket affirme avoir retiré le logiciel malveillant. La plateforme indique aussi avoir pris des mesures de sécurité supplémentaires après l’incident. Elle assure également être en contact avec les utilisateurs touchés.
Une interdiction en Belgique
En Belgique, la plateforme est interdite, car elle ne dispose pas d’une autorisation délivrée par la Commission des jeux de hasard. Cette absence d’agrément signifie que Polymarket n’est pas autorisée à proposer légalement ses services aux joueurs belges.
L’entreprise derrière Polymarket avait également reçu une astreinte de la part du régulateur néerlandais, au motif que des joueurs situés aux Pays-Bas pouvaient malgré tout parier sur la plateforme.

