Une attaque par la supply chain, pas par les smart contracts
Polymarket a subi une attaque d'environ 3 millions de dollars. Le vecteur choisi par les pirates n'est pas un bug de protocole : c'est une dépendance tierce intégrée au site web de la plateforme qui a été compromise. Une fois cette dépendance infectée, des scripts malveillants ont été injectés directement dans l'interface affichée à une partie des utilisateurs.
Résultat concret : les victimes pensaient interagir avec le vrai Polymarket. Elles signaient des transactions légitimes en apparence, mais le code piégé les redirigeait vers les adresses des attaquants. Ce type d'attaque, dit de type "supply chain" ou "front-end hijack", ne nécessite aucune faille dans les contrats intelligents sous-jacents. Il suffit de corrompre un maillon de la chaîne logicielle côté interface.
Ce que cela révèle sur la sécurité des plateformes décentralisées
L'ironie est réelle. Polymarket repose sur des smart contracts déployés on-chain, réputés pour leur transparence et leur résistance à la censure. Mais l'interface web, elle, reste un point de défaillance centralisé. C'est l'arroseur arrosé : la promesse de décentralisation ne protège pas les utilisateurs si le front-end peut être manipulé.
Ce vecteur d'attaque n'est pas nouveau. Des exploits similaires ont déjà frappé d'autres protocoles via des bibliothèques JavaScript tierces ou des CDN compromis. La difficulté pour l'utilisateur final est totale : sans inspecter manuellement le code exécuté dans son navigateur, rien ne distingue visuellement un site légitime d'un site piégé.
Polymarket indique avoir contenu l'incident et supprimé la dépendance compromise. Aucun chiffre précis sur le nombre d'utilisateurs affectés n'a été communiqué à ce stade. Trois millions de dollars, c'est le coût d'une confiance accordée à une couche logicielle que personne ne surveille vraiment.
