Il 25 giugno 2026 Polymarket ha scoperto che un fornitore terzo era stato compromesso, consentendo l'iniezione di JavaScript malevolo nel frontend della piattaforma. L'attacco ha indotto gli utenti a firmare transazioni fraudolente direttamente sul sito ufficiale, prosciugando circa 3 milioni di dollari in PUSD da meno di 15 account. La piattaforma ha assicurato il rimborso integrale e confermato che server, backend e contratti intelligenti non sono stati violati.
- Attacco alla supply chain del frontend: fornitore terzo compromesso, iniezione di JavaScript malevolo sul sito ufficiale di Polymarket
- Perdita stimata in circa 3 milioni di dollari (quasi 2,94 milioni secondo Specter), prosciugati da meno di 15 account e convertiti in circa 1.893 ETH
- Contratti intelligenti, server e backend di Polymarket risultati integri; l'attacco ha sfruttato il confine di fiducia tra utente e interfaccia web
- Secondo la fonte, è il secondo incidente di sicurezza in due mesi dopo il compromesso di un wallet amministrativo nel maggio 2026 con perdite stimate tra circa 520.000 e 700.000 dollari
Il meccanismo dell'inganno: frontend compromesso, transazioni legittime di aspetto
L'attacco non ha scalfito l'infrastruttura core di Polymarket. Secondo il post X della piattaforma citato da SecurityWeek, un fornitore terzo è stato compromesso e ha permesso l'iniezione di uno script malevolo nel frontend "per alcuni utenti". Gli utenti sono stati indotti a firmare trasferimenti di token PUSD — la stablecoin collateralizzata in USDC di Polymarket — verso indirizzi controllati dall'attaccante.
La natura dell'attacco rende particolarmente insidiosa la difesa. Gli utenti interagivano con il dominio ufficiale, visualizzavano interfacce familiari e firmavano transazioni che apparivano legittime. Il problema non risiedeva nel codice dei contratti intelligenti — verificato e intatto — ma nella catena di fiducia che collega l'utente al protocollo attraverso il browser.
"Questa mattina abbiamo scoperto che un fornitore terzo era stato compromesso, iniettando uno script malevolo nel nostro frontend per alcuni utenti. Abbiamo contenuto l'incidente e rimosso la dipendenza interessata" — Polymarket, post su X (via SecurityWeek)
Il flusso dei fondi: da Polygon a Ethereum, circa 1.893 ETH
Dopo aver prosciugato i wallet, l'attaccante ha spostato i fondi. Secondo PeckShield, citato da BleepingComputer, i fondi rubati sono stati bridgati da Polygon a Ethereum e convertiti in circa 1.893 ETH. Gli indirizzi coinvolti risultano documentati dagli analisti.
Specter ha identificato 11 wallet vittima, mentre Bubblemaps ha stimato il totale in meno di 15 account. Con una perdita complessiva di circa 2,94 milioni di dollari secondo Specter, la media per account supera i circa 267.000 dollari. I numeri confermano che l'attacco ha mirato a obiettivi di valore piuttosto che a una raccolta indiscriminata.
Il contesto ICE: valutazione e investimento istituzionale
Polymarket è valutata circa 9 miliardi di dollari e ha ricevuto un investimento di circa 2 miliardi da Intercontinental Exchange (ICE), operatore del New York Stock Exchange. La piattaforma rappresenta uno dei casi più significativi di istituzionalizzazione dei prediction market, con backing di actor finanziari tradizionali.
L'incidente del 25 giugno 2026 mette in luce che il compromesso di un singolo fornitore terzo — il cui nome Polymarket non ha divulgato — è bastato a sovvertire la fiducia degli utenti nell'interfaccia ufficiale. L'investimento in auditing dei contratti intelligenti e la protezione dell'infrastruttura blockchain non si sono estesi alla supply chain delle dipendenze frontend.
Cosa cambia
Il brief non contiene raccomandazioni operative dettagliate. L'analisi si basa su fonti editoriali convergenti; non è disponibile un advisory tecnico primario con CVE. Sulla base dei fatti documentati, emergono i seguenti elementi di contesto:
- Polymarket ha rimosso la dipendenza compromessa e contenuto l'incidente, ma non ha divulgato il nome del fornitore terzo coinvolto
- La fonte non specifica la durata della presenza dello script malevolo prima del rilevamento
- La piattaforma ha promesso il rimborso integrale agli utenti colpiti, come confermato da William LeGate, head of experience di Polymarket: "We are refunding affected users in whole, there are no user 'losses'"
- Il confronto con l'incidente del maggio 2026 — un compromesso di wallet amministrativo con perdite stimate tra circa 520.000 e 700.000 dollari — mostra due vettori diversi: gestione delle chiavi nel primo caso, supply chain del frontend nel secondo
Perché è importante
L'incidente del 25 giugno 2026 illustra un pattern ricorrente nei protocolli DeFi: la sicurezza dei contratti intelligenti non protegge dagli attacchi che sfruttano l'interfaccia utente. Gli utenti di Polymarket hanno perso circa 3 milioni di dollari non per una vulnerabilità nel protocollo, ma per aver firmato transazioni che apparivano legittime sul dominio ufficiale.
La risposta di Polymarket — rimborso integrale e contenimento — ha mitigato l'impatto diretto, ma la mancanza di disclosure sul fornitore compromesso limita la valutazione del rischio da parte degli utenti e degli investitori. A una valutazione di circa 9 miliardi di dollari, la governance della supply chain frontend diviene un elemento rilevante per la due diligence.
Il caso si colloca in un momento di attenzione crescente sui prediction market. Le scommesse elettorali su Polymarket hanno attirato scrutiny regolatorio, e un incidente di sicurezza che colpisce gli utenti direttamente — anche se con rimborso — aggiunge una variabile al dibattito sulla supervisione di piattaforme che operano al confine tra finanza decentralizzata e mercati tradizionali.
L'analisi si basa su fonti editoriali convergenti; non è disponibile un advisory tecnico primario con CVE. Il meccanismo esatto di compromissione del fornitore terzo e la durata della presenza dello script malevolo non sono stati divulgati dalle fonti disponibili.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/polymarket-customers-lose-3-million-in-supply-chain-attack/
- https://www.securityweek.com/3-million-reportedly-stolen-in-polymarket-hack/
- https://www.coingabbar.com/en/crypto-currency-news/polymarket-security-breach-breaking-news
- https://cryip.co/polymarket-frontend-hack-third-party-vendor-3-million-june-2026/
- https://tokenmetrics.com/polymarket/news/polymarket-users-lose-3-million-frontend-hack/
- https://yellow.com/news/polymarket-frontend-hack-repayment
- https://securityaffairs.com/194266/security/third-party-breach-at-polymarket-leads-to-2-94m-crypto-theft.html
- https://ts2.tech/en/polymarket-hack-puts-ice-backed-prediction-market-in-focus/
- https://resecurity.com/
- https://securityaffairs.com/
- https://securityaffairs.com/extended-cookie-policy