שבוע הבלהות של פולימרקט: שתלו קוד זדוני - וגנבו מיליונים

קוד זדוני שהושתק באתר הרשמי של פלטפורמת חיזוי השווקים הגדולה בעולם הוביל לגניבה של כ-3 מיליון דולר • החברה אישרה את הפרטים, מיהרה להכיל את האירוע ומבטיחה פיצוי מלא לכלל הנפגעים • ברקע: שבוע קטסטרופלי של שערוריות וחשדות לזיוף קמפיינים ויראליים

שבוע הבלהות של פולימרקט: האקרים שתלו קוד זדוני - וגנבו מיליוני דולרים. צילום: ChatGPT

ענקית הימורי הקריפטו וחיזוי השווקים פולימרקט אישרה רשמית כי נפלה קורבן למתקפת סייבר חמורה. במסגרת האירוע, האקרים הצליחו לפרוץ למערכות של ספק חיצוני של החברה ולהזריק קוד זדוני ישירות אל ממשק המשתמש הקדמי של אתר האינטרנט שלה.

הפריצה, המוגדרת על ידי מומחי אבטחה כמתקפת שרשרת אספקה, אפשרה לתוקפים לרוקן את כספיהם של קבוצת משתמשים שהושפעו מהקוד הזדוני.

פולימרקט, צילום: אי.פי

בהודעה רשמית שפרסמה החברה ברשת החברתית X (לשעבר טוויטר), נכתב: "גילינו כי ספק צד שלישי נפרץ, מה שהוביל להזרקת סקריפט זדוני לממשק הקדמי עבור חלק מהמשתמשים. הכנו את האירוע והסרנו את הרכיב הנגוע. אנו יוצרים קשר עם המשתמשים שהושפעו ונפצה אותם באופן מלא".

הנזק: 3 מיליון דולר במטבעות יציבים

חברות אבטחת הבלוקצ'יין והאנליסטים שעקבו אחר תנועת הכספים ברשת חושפים את ממדי הנזק. חברות האבטחה PeckShield ו-GoPlus Security, לצד חוקר האון-צ'יין המוכר Specter, דיווחו כי מהפריצה נפגעו פחות מ-15 ארגונים ומשתמשים שונים.

ההאקרים שמו ידיהם על מטבעות יציבים מסוג PUSD השייכים לפולימרקט מתוך ארנקי המשתמשים. סך הנזק הכולל נאמד ב-2.94 עד שלושה מיליון דולר. לפי הדיווח של PeckShield, מיד לאחר הגניבה, התוקפים העבירו את הכספים באמצעות גשר דיגיטלי מרשת Polygon לרשת Ethereum, ושם המירו אותם ל-1,893 מטבעות את'ריום (ETH).

פולימרקט, מי ידע שכך יהיה? // דודי קוגן, אילן קפרוב, שילה רוזנפלד, גיא סאלם

דובר החברה, קונור ברנדי, אישר לבלוג הטכנולוגיה TechCrunch כי כספי משתמשים אכן נגנבו, אך סירב לספק פרטים נוספים או לענות על שאלות ספציפיות בנוגע לאירוע. וויליאם לה-גייט, העובד בצמוד לפלטפורמה, חזר על הדברים והדגיש כי הבעיה נפתרה וכי המשתמשים יקבלו את כספם בחזרה עד השקל האחרון.

הפריצה השנייה תוך חודשיים

אירוע הסייבר הנוכחי מגיע פחות מחודש לאחר שפולימרקט ספגה פגיעה אחרת במערכותיה החיצוניות. במהלך החודש שעבר נפרץ ארנק מנהל מערכת המשמש את החברה לחלוקת תגמולים לעובדים. באותה תקרית נגנבו כ-700 אלף דולר (לאחר שההערכות הראשוניות של האנליסט ZachXBT עמדו על כ-520 אלף דולר). מפתח התוכנה ג'וש סטיבנס אישר בזמנו כי הסיבה לגניבה הייתה חשיפה של מפתח פרטי בן שש שנים בעקבות שגיאת קונפיגורציה פנימית.

פולימרקט, צילום: Shutterstock

בחברה מבהירים כי בשני המקרים המערכות ש נפגעו היו חיצוניות, וכי לא נרשמה פגיעה או חולשה בחוזי הליבה החכמים של פלטפורמת המסחר עצמה.

שבוע הבלהות

מתקפת הסייבר הנוכחית מהווה מכה קשה לחברה, שגם כך תופסת את הכותרות השבוע מהסיבות הלא נכונות. רק בתחילת השבוע חשף תחקיר של עיתון ה"וול סטריט ג'ורנל" כי פולימרקט שילמה ליוצרי תוכן צעירים בגילאי קולג' סכומים של בין 2,000 ל-3,000 דולר בחודש כדי שיפיצו סרטונים ויראליים מטעים.

בסרטונים אלו הציגו המשפיענים זכיות ענק פיקטיביות בהימורים, שבוצעו בפועל על גרסאות דמו של האתר מבלי שיש להן כל זכר או תיעוד על גבי רשת הבלוקצ'יין. החברה הגיבה לממצאים והבטיחה לבצע ביקורת פנימית מקיפה לכל תכני הקידום שלה.

#PeckShieldAlert Specter has reported that a #phishing campaign appears to be targeting #Polymarket users, with ~$3M worth of $PUSD drained.

The attacker bridged the stolen funds from #Polygon to #Ethereum and swapped them into ~1,893 $ETH. pic.twitter.com/Li4nZY1me4
— PeckShieldAlert (@PeckShieldAlert) June 25, 2026

בנוסף לכך, החברה מתמודדת החודש עם סערה נוספת, לאחר שסוחר מוכר טען כי הפסיד סכום של 500 אלף דולר בשל שינוי רטרואקטיבי ושרירותי שביצעה פולימרקט בחוקי ההכרעה של שוק הימורים ספציפי, אשר היה קשור למכירת הביטקוין של חברת Strategy.

טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו

עקבו אחרינו

G o o g l e News

גניבה האקרים מטבעות קריפטוגרפיים פולימרקט

כדאי להכיר

בצל איומי איראן: כך נערך משק האנרגיה

פסגת האנרגיה במעמד שגריר ארה"ב, שר האנרגיה ובכירי התעשייה בישראל ובעולם

בשיתוף המכון הישראלי לאנרגיה ולסביבה