Skip to content
Cyber Breaches
Recherche
Chaîne d’approvisionnementContenu

Attaque sur la chaîne d'approvisionnement du frontend de Polymarket : 3 millions de dollars détournés

Des attaquants ont compromis un prestataire frontend tiers et injecté du JavaScript malveillant sur le site de Polymarket, détournant environ 3 millions de dollars via des transactions frauduleuses.

Victime
Polymarket
Perte
$3.0M
SecteurFinanceTechnologie
PaysÉtats-Unis

Le 26 juin 2026, Polymarket — le grand marché prédictif fondé sur les cryptomonnaies — a confirmé une attaque sur la chaîne d'approvisionnement au cours de laquelle un prestataire frontend tiers compromis a servi à injecter du JavaScript malveillant sur le site de la plateforme. Le code falsifié a incité les utilisateurs à approuver des transactions frauduleuses, détournant environ 3 millions de dollars d'actifs cryptographiques depuis moins de 15 comptes.

Polymarket a souligné que son infrastructure et ses serveurs backend n'ont pas été compromis — la violation s'est limitée à l'expérience côté navigateur fournie aux utilisateurs. L'entreprise s'est engagée à rembourser intégralement tous les clients touchés.

Ce qui s'est passé

Les attaquants n'ont pas pénétré les propres systèmes de Polymarket. Ils ont plutôt compromis une dépendance tierce chargée par le frontend de Polymarket, ce qui leur a permis de servir du JavaScript malveillant aux visiteurs du site. Lorsque les utilisateurs interagissaient avec un marché, le code injecté manipulait les transactions présentées à la signature, de sorte que les victimes qui approuvaient ce qui ressemblait à une action de routine autorisaient en réalité des transferts vidant leur portefeuille.

Selon les analyses de l'incident, les actifs volés — principalement du pUSD, le jeton indexé sur le dollar de Polymarket — ont été convertis en environ 1 893 ETH et transférés du réseau Polygon vers la blockchain Ethereum, une étape de blanchiment courante qui complique la récupération des fonds.

Impact

  • Environ 3 millions de dollars d'actifs cryptographiques volés.
  • Moins de 15 comptes d'utilisateurs touchés, mais avec des pertes substantielles par compte.
  • La plateforme principale et le moteur d'appariement backend de Polymarket sont restés intacts ; la compromission s'est limitée aux interactions frontend des utilisateurs.
  • L'entreprise s'est engagée à rembourser intégralement tous les clients touchés.

Pourquoi c'est important

L'incident est un exemple classique de compromission du frontend / de la chaîne d'approvisionnement visant une plateforme financière : même lorsque les serveurs d'une organisation sont bien défendus, une seule dépendance tierce falsifiée chargée dans le navigateur peut transformer le site légitime en surface d'hameçonnage que les utilisateurs n'ont aucune raison de soupçonner. Pour les plateformes de finance décentralisée en particulier — où les utilisateurs signent régulièrement des transactions on-chain via une interface web — la sécurité de chaque script de la chaîne d'approvisionnement frontend est aussi déterminante que celle des contrats intelligents eux-mêmes. L'épisode a également ravivé l'attention des régulateurs sur Polymarket, qui fait par ailleurs l'objet d'un examen de la part des autorités américaines de régulation des produits dérivés.

Sources

  1. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/polymarket-customers-lose-3-million-in-supply-chain-attack/
  2. cybernews.comhttps://cybernews.com/security/polymarket-hit-by-cyberattack-via-third-party-dependency/
  3. rescana.comhttps://www.rescana.com/post/polymarket-supply-chain-attack-analysis-3-million-cryptocurrency-theft-via-compromised-third-party-dependency

Incidents liés

Chaîne d’approvisionnementContenu

Compromission de la chaîne d'approvisionnement SolarWinds SUNBURST (Cozy Bear)

Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.

Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Loss
$100.00B
Chaîne d’approvisionnementContenu

La compromission de la chaîne d'approvisionnement de Klue expose les données Salesforce de ses clients

Un identifiant d'API dormant a permis à des attaquants de compromettre la plateforme d'intelligence concurrentielle Klue et de récolter les jetons OAuth des applications connectées de ses clients, exfiltrant des enregistrements Salesforce d'entreprises comme Huntress et Recorded Future lors d'une attaque de la chaîne d'approvisionnement ensuite attribuée au groupe d'extorsion Icarus.

Victim
Klue (et ses clients dont Huntress et Recorded Future)
Chaîne d’approvisionnementContenu

Détournement du scope npm Mastra : 144 paquets du framework d'IA piégés (easy-day-js)

Un compte de contributeur détourné a servi à republier 144 paquets du populaire scope npm @mastra (agents d'IA) avec une dépendance malveillante typosquattée, easy-day-js, qui téléchargeait un cheval de Troie d'accès à distance multiplateforme et un voleur de cryptomonnaies sur toute machine de développeur ou système de build qui les installait.

Victim
Mastra (scope npm @mastra)
Chaîne d’approvisionnementContenu

Les extensions WordPress OptinMonster, TrustPulse et PushEngage piégées par une attaque de chaîne d'approvisionnement via le CDN d'Awesome Motive

Des attaquants ont dérobé une clé d'API CDN à Awesome Motive et altéré le JavaScript servi aux extensions WordPress OptinMonster, TrustPulse et PushEngage, créant en silence des comptes administrateurs malveillants et installant des portes dérobées sur les sites dont les administrateurs connectés chargeaient le code piégé.

Victim
Awesome Motive (OptinMonster, TrustPulse, PushEngage)