Banii au plecat fără ca vreun contract inteligent să fie spart și fără ca o singură cheie a platformei să fie forțată. La sfârșitul lui iunie 2026, câțiva utilizatori Polymarket s-au pomenit cu portofelele aproape goale, după ce atacatorii reușiseră ceva mai discret și, din multe puncte de vedere, mai greu de oprit.
Strecuraseră un fragment de cod ostil chiar în pagina pe care oamenii o deschid zilnic, prefăcând un site familiar într-o capcană.
Pentru cele unsprezece victime confirmate până acum, ecranul a arătat normal de la un capăt la altul. Se vedea soldul, butoanele răspundeau, adresa din browser era cea adevărată. Abia după ce fondurile dispăruseră s-a putut spune ce se petrecuse. Incidentul, observat într-o dimineață de joi, ridică o întrebare care trece dincolo de o platformă de pariuri pe evenimente.
Cât control mai are, de fapt, un om atunci când semnează o tranzacție, dacă fereastra prin care se uită la blockchain poate fi rescrisă de altcineva fără ca el să prindă de veste.
Atacul nu a lovit lanțul, ci ușa de la intrare
Primul semnal a venit chiar de la echipa platformei. Mesajul public spunea că unul dintre furnizorii externi fusese compromis și că, prin acea breșă, atacatorii apucaseră să injecteze un script malițios în interfața afișată unora dintre utilizatori. Faptul că au fost atinși doar o parte dintre ei arată un cod care lucra selectiv ori în reprize.
Acest amănunt face genul de atac neobișnuit de viclean. Poți folosi serviciul de zeci de ori fără nimic ieșit din comun, iar la a cincizecea vizită să nimerești o versiune otrăvită a aceleiași pagini, identică la suprafață cu cea curată. Reacția companiei a fost rapidă, cel puțin în comunicare.
Echipa a izolat problema, a scos dependența compromisă și a promis că îi va despăgubi integral pe cei loviți, în timp ce platforma a mers mai departe, semn că nucleul ei tehnic rămăsese neatins.
Întregul incident a fost documentat și așezat în context de Mihai Popa, analist și jurnalist la Cryptology.ro, publicația de știri și analize crypto în limba română unde cititorii găsesc și cotații criptomonede actualizate.
Ce este, de fapt, Polymarket?
Polymarket ține de o categorie încă tânără de servicii, numite piețe de predicție. Oamenii pariază pe rezultatul unor evenimente viitoare, de la cine câștigă o alegere până la încasările unui film, iar blockchainul schimbă felul în care se face decontarea. În locul unei case de pariuri care păstrează banii și hotărăște cine a câștigat, regulile stau scrise în contracte inteligente care eliberează singure fondurile către partea câștigătoare, odată ce rezultatul devine cunoscut.
Prețul unui contract se citește ca un termometru al probabilității, iar o opțiune cotată la șaizeci de cenți pe dolar arată o șansă estimată în jur de șaizeci la sută.
Pentru cititorul din afara domeniului contează un singur lucru. Pe o astfel de platformă circulă bani adevărați, ținuți în portofele pe care le controlează direct utilizatorul. Nu există un ghișeu unde să suni a doua zi ca să blochezi o plată frauduloasă. Ești propriul tău bancher, ceea ce înseamnă că ești și propriul tău paznic.
Cum a funcționat capcana din interfață?
O aplicație descentralizată are, simplificat, două straturi. Pe de o parte stau contractele inteligente care trăiesc pe blockchain, codul imuabil ce ține socoteala fondurilor. Pe de altă parte stă interfața web, adică site-ul și ferestrele care îți arată soldul și îți pregătesc tranzacția înainte să o aprobi. Stratul de pe lanț este de obicei cel mai verificat și cel mai bine apărat. Interfața, în schimb, se asamblează din zeci sau sute de piese software, multe împrumutate de la furnizori din afară. Exact acolo a căzut lovitura.
Mecanismul este al unei tranzacții deghizate. Pe ecran, utilizatorul vede o operațiune fără cusur, în vreme ce scriptul injectat pregătește în spate cu totul altceva, bunăoară o aprobare care îi dă atacatorului dreptul să mute fondurile. Portofelul cere semnătura, omul confirmă, convins că autorizează ceea ce i se arată, iar transferul ostil pleacă semnat chiar din mâna victimei. De aici și eticheta de phishing. Utilizatorul a fost păcălit să aprobe ceva ce nu ar fi aprobat niciodată în cunoștință de cauză.
De ce furnizorii terți sunt veriga slabă?
Software-ul de azi aproape că nu se mai scrie de la zero. O platformă se sprijină pe componente aduse din afară, biblioteci de cod ori scripturi găzduite pe serverele altor companii. Fiecare piesă scutește timp, dar deschide și o ușă pe care echipa nu o mai controlează direct. Când atacatorul nu poate sparge ținta principală, urcă pe firul aprovizionării și caută un furnizor mai prost păzit, iar codul ostil curge apoi în jos, spre toți cei care folosesc serviciul. Securitatea numește tiparul atac asupra lanțului de aprovizionare software, iar Polymarket nu este primul caz din 2026.
Un mecanism asemănător a stat și în spatele exploitului de 3,2 milioane de dolari care a vizat un modul adus de un terț, semn că problema dependențelor externe a depășit demult o singură platformă.
Ce sperie la atacurile asupra interfeței este că trec pe lângă aproape toate sfaturile clasice de prudență. Verifici adresa din bara de navigare și e corectă, intri pe site-ul oficial și chiar acela este, ocolești linkurile dubioase și tot rămâi expus. Pericolul nu vine printr-o pagină falsă, ci prin pagina autentică, modificată pe dinăuntru.
PUSD și anatomia unei pierderi de trei milioane
Toate victimele aveau un activ comun. Fiecare ținea PUSD, stablecoinul legat de ecosistemul Polymarket, o monedă digitală construită să stea aproape de valoarea dolarului american. Pe o platformă de pariuri pe evenimente, un astfel de instrument este firesc, fiindcă oamenii vor să își păstreze capitalul de lucru în ceva care nu sare cu zeci de procente peste noapte.
Stablecoinurile nu sunt nici ele ferite de necazuri, cum a dovedit prăbușirea cu optzeci la sută a lui USR după un exploit de 25 de milioane de dolari, însă, de data aceasta, PUSD și-a păstrat valoarea, doar că a fost scos cu totul din conturi.
Tocmai pentru că era moneda în care utilizatorii își țineau fondurile active, PUSD a devenit ținta logică. Scriptul a căutat portofelele care îl conțineau și le-a secat. Paguba publică a fost estimată la circa 2,94 milioane de dolari, rotunjită în titluri la trei milioane, cu cel puțin unsprezece victime confirmate. Numărul pare mic, dar ascunde pierderi individuale serioase, de vreme ce media trece de un sfert de milion de dolari pe cont.
De aici și ciudățenia acestui tip de atac, cu pradă mare și victime puține. O breșă în interfața unei platforme financiare serioase lovește exact acolo unde se strânge capitalul concentrat, iar cei unsprezece nu au fost naivi atrași de o promisiune absurdă, ci oameni care foloseau corect un serviciu legitim, în ziua nepotrivită.
Banii lasă o urmă pe lanț
Una dintre ironiile statornice ale criminalității cu criptomonede este că furtul lasă, aproape mereu, o dâră publică. După ce au golit cele unsprezece portofele de PUSD, atacatorii au schimbat repede prada în Ether, alegere deloc întâmplătoare.
Un stablecoin legat de o singură platformă poate fi mai ușor înghețat sau marcat, pe când Ether este lichid și mult mai greu de oprit. Sumele au fost apoi strânse într-o singură adresă de consolidare, o gură de canal prin care s-au scurs toate firele furtului.
Pe baza datelor de pe blockchain, redacția Cryptology.ro a refăcut traseul fondurilor și a oferit cititorului român o lectură limpede a unui atac altfel greu de descifrat. Oricine poate examina adresa pe un explorator public precum Etherscan și poate urmări, tranzacție cu tranzacție, mișcarea banilor. Transparența nativă a blockchainului preface fiecare hoț într-un personaj filmat de o cameră care nu se oprește.
Asta nu garantează recuperarea, fiindcă atacatorii au la îndemână mixere și schimburi care nu cer identitate, însă punctul de plecare al fugii rămâne cunoscut, iar el este adesea capătul de care se trage într-o anchetă.
Al doilea cui în câteva săptămâni
Lovitura nu a venit pe un teren curat. Cu doar o lună mai devreme, aceeași platformă pierduse 700.000 de dolari, dar dintr-o cauză cu totul diferită, exploatarea unei chei private vechi, fără legătură cu contractele de bază.
Cazul amintește de furtul a 5,4 milioane de dolari de pe Gravity Bridge, pornit tot de la o cheie de semnătură compromisă, și arată cât de variată este suprafața de atac a unei platforme financiare mature. Nu există o singură ușă de păzit. O cheie rămasă activă undeva în sistem poate fi la fel de periculoasă ca dependența unui furnizor sau ca fereastra prin care utilizatorul își semnează tranzacțiile. Un sistem poate fi solid în miez și totuși să sângereze prin margini.
Polymarket se așază astfel într-un șir mai lung de incidente din 2026 în care banii au plecat nu prin spargerea criptografiei, ci prin exploatarea oamenilor și a infrastructurii din jurul ei. A fost o lună în care un atac de 10 milioane de dolari a forțat un răspuns de urgență la nivelul întregii rețele THORChain, semn că ținta s-a mutat de mult dinspre cod spre tot ce îl înconjoară. Numitorul comun nu este matematica blockchainului, greu de spart și astăzi, ci marginile lui.
Cum îți poți reduce expunerea?
Un atac asupra interfeței este, prin natura lui, greu de prins cu ochiul liber, însă câteva obiceiuri taie mult din risc. Totul pornește de la momentul semnării, fiindcă portofelele moderne arată, înainte de confirmare, ce anume urmează să aprobi. O aprobare nelimitată cerută pentru un activ, o adresă necunoscută strecurată drept destinatar sau o sumă care nu se potrivește cu operațiunea pe care credeai că o faci ar trebui să oprească pe loc reflexul de a apăsa pe confirmare. Cântărește la fel de mult și felul în care îți împarți banii.
Un portofel conectat zilnic la platforme ar trebui să țină doar capitalul cu care lucrezi efectiv, în timp ce rezerva mare merită ținută într-un portofel rece, pe care un script injectat nu îl poate atinge, fiindcă nu se află acolo când vine lovitura. Aceeași prudență a făcut diferența și în alte episoade, precum drenarea portofelelor descrisă în cazul virusului TrapDoor, care fură portofele cripto din calculatoarele programatorilor.
Unde s-a mutat, de fapt, frontul?
Cazul celor trei milioane scurse din conturile Polymarket nu este povestea unei platforme prinse pe picior greșit, ci o imagine a felului în care s-a deplasat lupta pentru fondurile digitale.
Atacatorii au înțeles demult că nucleul criptografic se sparge scump și au coborât pragul de efort către locurile unde apărarea e mai poroasă. Un furnizor terț prost păzit sau o secundă de neatenție a omului care semnează prețuiește acum, pentru ei, mai mult decât orice încercare de a forța criptografia.
Pentru utilizatorul obișnuit, învățătura nu este să se teamă de tehnologie, ci să își mute atenția de la întrebarea dacă platforma e de încredere spre întrebarea ce semnează el, exact, în clipa aceasta. Cât timp interfața prin care privim blockchainul rămâne stratul cel mai expus, acea secundă de atenție la fereastra de semnare s-ar putea dovedi mai prețioasă decât orice audit al contractului din spate.
Relatarea de față pornește de la materialul original publicat pe Cryptology.ro, în articolul semnat de Mihai Popa.
