Полный разбор схемы - в основной статье. 20 мая 2026 года из инфраструктуры платформы вывели $520 000 за одну транзакцию. Взлом кошелька Polymarket произошёл не через дыру в смарт-контракте, а через утечку приватного ключа служебного кошелька.
ZachXBT поймал транзакцию первым. Деньги ушли из контракта UMA CTF Adapter на Polygon: это расчётный мост, через который Polymarket распределяет выплаты по закрытым рынкам прогнозов. Атаковали именно его, точнее, операционный ключ к нему.
Взлом кошелька Polymarket: что именно скомпрометировали
UMA CTF Adapter не хранит пользовательские ставки. Это расчётный механизм. Когда рынок закрывается, контракт верифицирует исход через оракул UMA и распределяет выплаты. Для операционных пополнений у платформы есть служебный кошелёк, и приватный ключ от него утёк наружу.
Команда Polymarket в официальном заявлении от 20 мая 2026 года отвергла версию про взлом контрактов целиком. Утекла подпись внутреннего кошелька, не код. Пользовательские позиции, торговля и вывод средств не затронуты, торги не останавливались. (Вывод токенов SEE).
Разница принципиальная. Утечка ключа: операционная уязвимость. Эксплойт в коде: архитектурная. Здесь украли не сейф, а связку ключей у сотрудника службы доставки.
Схема атаки: внутренний кошелёк Polymarket → UMA CTF Adapter (Polygon) → несанкционированный вывод $
Цифры инцидента: что показывает разбор транзакций
Дальше - цифры. Сумма $520 000 находилась в операционном пуле пополнений. Доля от общего TVL платформы по оценкам ZachXBT: менее 0,4%. Объём ежедневных торгов Polymarket в мае 2026 года колебался в диапазоне $40-60 млн, то есть украденная сумма составила примерно 1% от дневного оборота.
| Параметр | Значение |
|---|---|
| Дата инцидента | 20 мая 2026 |
| Сумма вывода | $520 000 |
| Сеть | Polygon |
| Контракт | UMA CTF Adapter |
| Тип атаки | Утечка приватного ключа |
| Пострадали ли пользователи | Нет |
| Транзакций для вывода | 1 |
| Доля от дневного оборота | ~1% |
Один штрих, который легко пропустить: вывод прошёл за одну транзакцию. Это значит, что у атакующего был полный доступ к ключу и не было необходимости дробить операцию. Никаких хитрых обходов лимитов: подписал, отправил, вывел.
Где проверить факт
ZachXBT выложил разбор публично, транзакция верифицируется через Polygonscan. Адрес UMA CTF Adapter открыт, история взаимодействий с ним тоже. Если есть активные позиции на Polymarket: статус рынков проверяется в интерфейсе, торговля не прерывалась.
По делу: операционный кошелёк и пользовательские пулы технически изолированы. Это и объясняет, почему платформа не остановила торги после инцидента.
Что изменилось относительно предыдущих кейсов
До этого Polymarket подавался как технически чистая децентрализованная биржа прогнозов. После 20 мая стало ясно: децентрализация контрактов не закрывает централизованные операционные риски. Любой сервис со служебным кошельком и одиночным ключом несёт этот риск, независимо от качества кода.
В разборах рыночных манипуляций уже фиксировалась тенденция: самые крупные потери идут не от багов в коде, а от ошибок в управлении ключами. Polymarket не первый и не последний. Отличие в том, что здесь атака зацепила служебный пул, а не клиентские средства, поэтому медийный эффект оказался выше реального ущерба.
Практический критерий проверки сервиса: используется ли мультиподпись для операционных кошельков. Один ключ с правом подписи на $500 000+ - это не архитектура, это халатность. Подробнее про базовые принципы безопасности - в материале о защите криптоактивов.
Я не аудитор и не сотрудник Polymarket: данные взяты из публичных заявлений ZachXBT и команды платформы от 20 мая 2026 года, проверяйте по Polygonscan самостоятельно.
FAQ
Можно ли по on-chain данным понять, был ли это инсайдер?
Прямо по транзакции - нет. Утечка ключа выглядит идентично и в случае фишинга разработчика, и в случае компрометации сервера, и в случае инсайдерского слива. Различить можно только по off-chain артефактам: логи доступа, история коммитов, IP-адреса инициаторов транзакции. Эти данные у Polymarket есть, но публично они их не раскрывали.
Что делать, если у меня была открытая позиция в момент атаки?
Ничего дополнительного: позиции не были затронуты.
Как мультиподпись защитила бы от такой атаки?
Схема 2-из-3 или 3-из-5 требует подписи с нескольких независимых устройств. Утечка одного ключа без остальных бесполезна для атакующего. Стоимость внедрения для платформы уровня Polymarket - копейки относительно $520 000 потерь.
Возвращаясь к первому абзацу: одна транзакция, $520 000, операционный кошелёк. Открой Polygonscan, найди адрес UMA CTF Adapter, посмотри транзакции от 20 мая. Сохрани адрес контракта в закладки, проверь свои активные рынки в интерфейсе Polymarket. Контекст после разбора такой: код контрактов остался чистым, провал случился на уровне хранения ключа - то есть там, где никакая децентрализация не страхует.