Attaque de phishing par la chaîne d'approvisionnement du frontend de Polymarket

Le 25 juin 2026, Polymarket — le plus grand marché de prédiction on-chain — a vu son frontend retourné contre ses propres utilisateurs, drainant environ 2,94 millions de dollars d'au moins 11 portefeuilles après que des attaquants eurent injecté un script malveillant via un prestataire tiers compromis. Les contrats intelligents de la plateforme n'ont jamais été touchés ; le vol s'est déroulé entièrement au niveau de la couche applicative, là où les utilisateurs font confiance à l'interface qu'ils voient.

Ce qui s'est passé

L'attaque était une compromission de la chaîne d'approvisionnement et non une intrusion directe dans l'infrastructure propre de Polymarket. Les attaquants ont altéré le code d'une dépendance tierce que Polymarket distribuait via son site web, et le script trafiqué a été livré à certains utilisateurs lorsqu'ils chargeaient le frontend. Lorsqu'une victime connectait son portefeuille, le code injecté lui demandait de signer ou d'approuver des transactions qui semblaient anodines mais remettaient en réalité le contrôle de ses fonds à l'attaquant. Le script visait spécifiquement PUSD, le stablecoin de garantie de Polymarket sur Polygon. Une fois les approbations accordées, l'attaquant a drainé le PUSD des comptes concernés, puis a transféré les fonds de Polygon vers Ethereum via un pont et les a échangés contre environ 1 893 ETH pour liquider rapidement et brouiller la piste. L'analyste blockchain Specter a repéré le premier la fuite on-chain, et la société de sécurité PeckShield a estimé les pertes totales à environ 3 millions de dollars réparties sur plus d'une douzaine de victimes.

Conséquences

Polymarket a déclaré avoir maîtrisé l'incident en une quinzaine de minutes après le premier signalement public, supprimé la dépendance concernée et commencé à contacter les victimes. L'entreprise s'est engagée à rembourser intégralement les utilisateurs touchés, sans toutefois nommer initialement le prestataire compromis ni préciser le nombre de comptes affectés. Les pertes déclarées ont ensuite grimpé vers 3,1 millions de dollars à mesure que d'autres portefeuilles étaient identifiés, et la promesse de remboursement a suscité des interrogations sur la manière dont elle serait vérifiée. Comme les fonds volés eux-mêmes n'ont pas été récupérés auprès de l'attaquant — les produits étaient déjà transférés par pont et convertis en ETH —, l'incident reste classé comme une perte ; les remboursements promis constituent une indemnisation de la part de Polymarket, et non une récupération des actifs volés.

Pourquoi c'est important

Polymarket rappelle de façon exemplaire que le frontend d'un protocole fait partie de sa surface d'attaque, même lorsque les contrats sont irréprochables. Le schéma fait écho à BadgerDAO, où un script malveillant injecté dans l'application web subtilisait les approbations de jetons directement dans les portefeuilles des utilisateurs, et à Curve, où les attaquants ont détourné l'interface plutôt que le code. À mesure que les attaques contre la chaîne d'approvisionnement des dépendances tierces se multiplient, la leçon est sans détour : les utilisateurs ne peuvent pas distinguer un frontend empoisonné d'un frontend sain, la charge incombe donc aux opérateurs de sécuriser chaque dépendance susceptible d'atteindre la boîte de dialogue de signature.