Une clé privée, pas un exploit de contrat
Le 22 mai 2026, Polymarket a confirmé un incident de sécurité ciblant une adresse d'opération interne déployée sur Polygon. Selon les données on-chain analysées par Lookonchain, le préjudice s'élève à environ 660 000 dollars. L'attaquant a exploité une clé privée compromise associée au wallet de top-up interne connecté à l'infrastructure UMA CTF Adapter, le composant qui gère la résolution des marchés de prédiction.
Le VP Engineering DeFi de Polymarket a tenu à préciser publiquement qu'il ne s'agit pas d'un hack de contrat intelligent. Les fonds des utilisateurs restent intacts, et aucune résolution de marché n'a été altérée. La distinction compte : une compromission de clé privée relève d'une défaillance opérationnelle, non d'une vulnérabilité protocolaire. Cela n'en limite pas pour autant l'impact financier.
Côté traçabilité, PeckShieldAlert a identifié qu'une partie des fonds volés a déjà transité par ChangeNOW, un service d'échange sans KYC, compliquant d'emblée toute tentative de récupération.
Trois incidents en 18 mois : un pattern qui interroge
Ce piratage n'est pas isolé. C'est le troisième incident de sécurité significatif à frapper l'écosystème Polymarket en un an et demi.
En mars 2025, une attaque de gouvernance ciblant UMA avait compromis un marché valorisé à 7 millions de dollars. En décembre 2025, c'est un provider d'authentification tiers qui avait été la porte d'entrée. En mai 2026, une clé privée mal sécurisée suffit à vider 660 000 dollars.
La séquence dessine un profil de risque préoccupant : chaque incident touche une couche différente de l'infrastructure, gouvernance, authentification, gestion des clés. Aucun vecteur d'attaque ne se répète, ce qui suggère une surface d'exposition large plutôt qu'un angle aveugle unique. Pour une plateforme qui ambitionne de s'imposer comme référence mondiale des marchés de prédiction, la question de la maturité opérationnelle devient difficile à esquiver.
