Polymarket: Втрата POL

Головне за хвилину:

Платформа Polymarket втратила $600,000 у POL через компрометацію приватного ключа;
Експлойт смарт-контракту виключено — користувацькі кошти та розрахунки ринків безпечні;
Витік стосувався внутрішнього 👉 гаманця для top-up операцій, а не core-інфраструктури;
Команда ротувала адресу та досліджує backend-системи;
Остаточна сума збитків та деталі відновлення поки не оприлюднені.

Команда Octobit розібрала хронологію інциденту та ключові питання, які залишились без відповіді.

Як почалась паніка?

Перші тривожні сигнали з’явились 22 травня о 08:22 UTC. Он-чейн дослідник ZachXBT опублікував у Telegram попередження: адміністративний гаманець Polymarket на Polygon виглядає скомпрометованим. На той момент з нього було виведено понад $520,000.

Через півгодини 👉 блокчейн-аналітична фірма Bubblemaps посилила тривогу. Вони заявили: атакувальник виводить 5,000 POL кожні 30 секунд, загальні втрати досягли $600,000. Користувачам рекомендували призупинити всю активність на платформі.

Публічна тривога розповсюдилась швидше, ніж офіційні пояснення. Адреса атакувальника була позначена у PolygonScan, а он-чейн транзакції показували чіткий паттерн дренажу.

Факт: о 09:01:19 UTC у гаманець UMA CTF Adapter Admin надійшло 5,000 POL. Через 7 секунд майже вся сума (4,999.994 POL) пішла на адресу атакувальника. Цей ритм повторювався знову і знову.

Більше оновлень про безпекові інциденти ми регулярно збираємо в розділі 👉 новини криптовалют.

We’re aware of the security reports linked to rewards payout. User funds and market resolution are safe.
Findings point to a private key compromise of a wallet used for internal top-up operations, not contracts or core infrastructure.
More updates to follow.
— Polymarket Developers (@PolymarketDevs) May 22, 2026

Що насправді сталося?

Офіційна версія від Polymarket Developers з’явилась пізніше — і суттєво відрізнялась від першопочаткових тривог про експлойт контракту.

Команда заявила: проблема не в смарт-контрактах і не в core-інфраструктурі. Це був private key compromise — компрометація приватного ключа гаманця, який використовувався для internal top-up operations (внутрішніх операцій поповнення).

Простими словами: це не злом логіки ринків предикшну, а витік технічного гаманця, який підтримував роботу платформи ззаду — наприклад, автоматичне поповнення балансів для виплат винагород.

Шантікіран Чанал, софтверний інженер Polymarket, підтвердив: «Кошти користувачів та розрахунки ринків безпечні». Він додав, що інцидент пов’язаний з 👉 rewards payout reports — системою виплат винагород.

Мустафа, ще одне джерело з команди Polymarket, пояснив деталі: «CTF contract не зламано». Проблема торкнулась внутрішньої операційної адреси, яку використовував сервіс для перевірки та поповнення балансів кожні кілька секунд. Всі користувацькі кошти безпечні, адресу ротують.

За даними Yahoo Tech, компрометований гаманець відповідав за internal rewards wallet — не за ринкову ліквідність чи 👉 смарт-контракти розрахунків.

Кошти користувачів та розрахунки ринків безпечні. Проблема пов’язана з системою виплат винагород, а не з контрактами.

Чому це важливо?

Різниця між експлойтом контракту та компрометацією ключа — критична для розуміння масштабу ризику.

Якби зламали CTF contract (Conditional Tokens Framework — механізм токенізації результатів ринків), під загрозою опинились би всі користувацькі позиції. Якби зламали UMA resolution infrastructure (систему розрахунків через оракулів), ринки могли б закритись некоректно, а виграші не виплатились.

Але тут інша історія. Компрометований гаманець не мав доступу до core market logic. Він лише поповнював баланси для виплат винагород — тобто був частиною backend-сервісів, а не фронтальної логіки торгівлі.

Проте навіть такий інцидент залишає питання:

Чому автоматична система не зупинилась після перших аномальних транзакцій?
Чи були monitoring alerts налаштовані на цей гаманець?
Скільки ще внутрішніх адрес мають схожі права?

За даними Bitcoin Foundation, UMA CTF Adapter на Polygon був позначений як точка витоку, але команда підтвердила: контракт сам не зламано.

Схожі кейси операційної безпеки ми розбираємо в розділі 👉 новини альткоїнів.

Розбіжності у версіях інциденту

Питання	Перші алерти	Офіційна версія Polymarket
Що відбувалось?	Bubblemaps: 5,000 POL кожні 30 секунд виводяться	Команда: rewards payout / internal top-up activity
Чи це експлойт контракту?	Bubblemaps: так, contract exploit	Команда: ні, private key compromise
Чи в безпеці користувачі?	ZachXBT: рекомендовано призупинити активність	Chanal: user funds safe, resolution safe
Остаточна сума втрат?	$600,000 станом на алерт	Не оприлюднено

🔮 Чого чекати далі?

Polymarket має оприлюднити три речі: фінальну суму збитків, список усіх скомпрометованих адрес та детальний incident report. Поки цього немає — довіра під питанням. Якщо команда швидко закриє всі питання та покаже оновлені security controls — інцидент залишиться в категорії «операційний прокол». Якщо затягнуть — репутаційні втрати можуть перевищити фінансові.

Висновки

Користувацькі кошти не постраждали

Ринкові розрахунки працюють без збоїв

Команда швидко ротувала скомпрометовану адресу

Автоматичний дренаж тривав занадто довго без зупинки

Відсутність фінального звіту про втрати

Незрозуміло, чи були інші адреси під ризиком

Публічний alarm overstated масштаб проблеми

Словник

Private key compromise: Ситуація, коли приватний ключ гаманця потрапляє в чужі руки, даючи повний контроль над коштами на цій адресі.
CTF (Conditional Tokens Framework): Смарт-контрактна система для токенізації результатів ринків предикшну — дозволяє створювати Yes/No токени для ставок.
UMA: Протокол оракулів (Optimistic Oracle), який Polymarket використовує для розрахунків ринків — визначає, хто виграв ставку.
Internal top-up operations: Автоматичні процеси поповнення балансів гаманців, які підтримують роботу платформи ззаду (наприклад, виплати винагород).
On-chain investigator: Аналітик, який досліджує блокчейн-транзакції в реальному часі, відстежуючи підозрілу активність та зламані адреси.

Часті питання (FAQ)

Чи втратили користувачі Polymarket свої кошти?

Ні. Команда Polymarket підтвердила, що користувацькі кошти та ринкові розрахунки не постраждали. Компрометований гаманець використовувався лише для internal top-up операцій.

Скільки всього втратили через цей інцидент?

Перші оцінки називали $520,000–$600,000 у POL токенах. Остаточна сума ще не оприлюднена командою Polymarket.

Що таке CTF contract і чи його зламали?

CTF (Conditional Tokens Framework) — це контракт для створення Yes/No токенів на ринках предикшну. Команда Polymarket підтвердила: цей контракт не зламано.

Чи можна зараз торгувати на Polymarket?

Так. Команда заявила, що платформа працює штатно, скомпрометовану адресу ротовано, а користувацькі функції безпечні.

Що таке private key compromise?

Це ситуація, коли приватний ключ гаманця потрапляє до зловмисника. Приватний ключ — це єдиний спосіб контролю над коштами на блокчейні, тому його витік означає повну втрату доступу.