La plateforme de marchés prédictifs Polymarket a subi le 22 mai 2026 une fuite de clé privée sur l’un de ses portefeuilles opérationnels internes. Environ 520 000 dollars ont été drainés via le contrat UMA CTF Adapter, selon les analyses publiées par l’investigateur on-chain ZachXBT. L’équipe a rapidement précisé que les fonds des utilisateurs et les contrats de règlement des marchés n’ont pas été touchés.

Comment l’attaque a-t-elle été menée ?

L’attaquant a exploité la clé privée compromise pour extraire des fonds en continu, à raison d’environ 5 000 tokens POL toutes les 30 secondes, selon Bubblemaps. La rapidité du drainage suggère un script automatisé déployé dès la prise de contrôle du portefeuille.

Les fonds ont ensuite été dispersés sur 15 adresses distinctes, une technique classique de brouillage destinée à compliquer le traçage on-chain. ZachXBT a identifié l’adresse source comme appartenant à l’adaptateur UMA CTF, un contrat intermédiaire utilisé par Polymarket pour la résolution des marchés prédictifs.

Lecture du rédacteur La fuite d’une clé privée opérationnelle plutôt qu’un exploit de smart contract illustre un vecteur d’attaque souvent négligé : la gestion des secrets d’infrastructure. Un protocole peut avoir un code audité sans faille et perdre des fonds si ses clés de déploiement ou d’administration ne sont pas correctement isolées. Trois des dix plus grands incidents DeFi de 2025 partageaient ce vecteur selon Chainalysis.

Pourquoi les fonds des utilisateurs sont-ils préservés ?

Polymarket a tenu à distinguer deux périmètres dans sa réponse publique. Le portefeuille compromis servait exclusivement aux opérations internes et à la distribution des récompenses. Il n’avait pas accès aux contrats de règlement des marchés ni aux fonds déposés par les utilisateurs.

Cette séparation architecturale a limité le rayon d’impact. Le montant soustrait, bien que significatif, représente une perte opérationnelle plutôt qu’une atteinte aux liquidités des participants. L’équipe a annoncé la publication de mises à jour supplémentaires dans les prochaines heures.

Ce type d’incident rappelle un précédent notable chez BitMart en 2021, où 200 millions de dollars avaient été dérobés suite à une compromission similaire de clés chaudes, avec un impact direct sur les fonds clients cette fois-ci.

Quel est le contexte de Polymarket en 2026 ?

L’incident survient dans une période d’expansion pour Polymarket. La plateforme avait franchi le seuil de 10 milliards de dollars de volume mensuel en mars 2026 selon Bitcoin.com News, et cherche désormais à s’implanter au Japon avec un représentant local nommé en vue d’une autorisation gouvernementale d’ici 2030.

Cette dynamique de croissance rend la crédibilité sécuritaire particulièrement sensible. Un soldat américain avait déjà été inculpé pour délit d’initié sur Polymarket à hauteur de 400 000 dollars, illustrant que la plateforme attire autant des acteurs malveillants que des utilisateurs légitimes.

L’exposition à l’UMA Protocol, utilisé comme oracle de résolution, constitue également un point d’attention. Tout contrat intermédiaire avec des droits d’exécution représente une surface d’attaque potentielle, indépendamment de la qualité du code principal. La gestion des clés privées reste le maillon faible le plus fréquemment exploité dans les incidents de ce type.

À retenir

Une clé privée opérationnelle compromise a coûté 520 000 dollars à Polymarket, sans toucher les fonds des marchés ni ceux des utilisateurs. L’équipe a confirmé la nature de l’incident et promet des mises à jour. La gestion des secrets d’infrastructure reste un angle mort récurrent dans la sécurité DeFi, à surveiller dans les semaines à venir.

Et pour la France ?

Polymarket n’est pas enregistré comme PSAN auprès de l’AMF et n’opère pas sous licence française. Pour les résidents fiscaux français ayant utilisé la plateforme, les gains éventuels restent soumis au PFU de 31,4 % via le formulaire 2086, même si le règlement s’effectue en cryptomonnaies. L’AMF n’a pas publié de communication spécifique sur cet incident à ce stade.

Sources

Signal Baissier
Impact Modéré
Nous ajouter à vos sources préférées sur Google