Una mattina di fine giugno, gli utenti di Polymarket si sono trovati di fronte a una spiacevole scoperta: un fornitore terzo compromesso aveva iniettato un codice malevolo nel frontend della piattaforma, trasformando ogni interazione con l’interfaccia in un’opportunità per i criminali di svuotare i wallet connessi. L’attacco phishing a Polymarket ha sottratto circa 2,94 milioni di dollari da almeno undici wallet di utenti, e arriva in un momento in cui la sicurezza nel mondo DeFi è sotto pressione come mai prima.
Summary
Punti chiave
- Un fornitore terzo compromesso ha iniettato uno script malevolo nel frontend di Polymarket, abilitando un attacco phishing che ha prosciugato circa $2,94 milioni da almeno 11 wallet.
- Polymarket ha rimosso la dipendenza malevola, contenuto l’incidente e si è impegnata a rimborsare integralmente tutti gli utenti colpiti.
- Secondo DefiLlama, si tratta dell’89° breach di sicurezza crypto nel secondo trimestre del 2026, il totale trimestrale più alto per numero di incidenti mai registrato.
- Nel solo mese di giugno 2026, DefiLlama ha registrato perdite per $74,9 milioni in 29 exploit separati.
- Circa un mese prima, Polymarket aveva già subito un incidente distinto legato a una chiave privata vecchia di sei anni, con un danno di circa $600.000.
Dettagli sull’attacco phishing al frontend di Polymarket
La natura di questo attacco distingue l’episodio dalla maggior parte dei furti nel settore. Non si trattava di un exploit dei contratti smart, né di una vulnerabilità nel protocollo sottostante. L’analista blockchain Specter ha identificato l’incidente come una campagna di phishing classica, resa possibile da un vettore insidioso: la catena di fornitura del software.
Iniezione di codice malevolo tramite fornitore terzo
Gli attaccanti hanno prima compromesso un fornitore di servizi terzo utilizzato da Polymarket, ottenendo così la capacità di iniettare uno script malevolo direttamente nell’interfaccia front-end della piattaforma. Chiunque abbia aperto il sito e interagito con l’interfaccia durante la finestra di vulnerabilità ha inconsapevolmente esposto il proprio wallet al codice ostile.
Questo tipo di attacco — noto come supply chain attack — è particolarmente difficile da rilevare in tempo reale, perché il codice malevolo si nasconde all’interno di dipendenze apparentemente legittime. Per l’utente finale, tutto sembra normale fino a quando i fondi non spariscono.
Impatto dell’attacco e portafogli compromessi
Specter ha stimato che lo script ha colpito almeno 11 wallet, prosciugando saldi in PUSD. I fondi sottratti sono stati rapidamente convertiti in ETH e consolidati in un unico indirizzo, una manovra tipica per oscurare la traccia dei fondi e renderne più difficile il recupero.
Il danno complessivo si è attestato intorno a $2,94 milioni, una cifra significativa che evidenzia quanto anche le piattaforme DeFi consolidate restino esposte a vulnerabilità nelle componenti software di terze parti.
Risposta della piattaforma e rimborso agli utenti
Polymarket ha reagito con rapidità e trasparenza. La piattaforma ha pubblicato su X una comunicazione diretta agli utenti, confermando il problema e annunciando le misure adottate.
Contenimento dell’incidente e rimozione della dipendenza malevola
Non appena rilevato il problema, il team ha rimosso la dipendenza compromessa e contenuto l’incidente. L’interfaccia è stata messa in sicurezza e la catena di contagio interrotta. La comunicazione pubblica è stata tempestiva: Polymarket ha dichiarato di aver scoperto il problema nella mattinata del 25 giugno 2026, agendo immediatamente per isolare il codice ostile.
Impegno a rimborsare completamente gli utenti colpiti
La decisione di rimborsare integralmente tutti gli utenti colpiti è il segnale più importante sul piano della gestione della crisi. Polymarket ha confermato che sta contattando direttamente gli utenti interessati per procedere ai rimborsi.
Dal punto di vista strategico, questa scelta non è solo un atto dovuto: in un settore dove la fiducia è il bene più volatile, una risposta rapida e integrale può fare la differenza tra una crisi isolata e un danno reputazionale duraturo. Josh Stevens, vice president of engineering di Polymarket, aveva già rassicurato gli utenti in occasione di un precedente incidente, sottolineando come i fondi degli utenti e i contratti smart fossero rimasti al sicuro.
Contestualizzare la violazione nella sicurezza delle criptovalute
L’episodio di Polymarket non è un caso isolato. Va letto all’interno di una tendenza preoccupante che sta caratterizzando il 2026 per tutto l’ecosistema crypto.
DefiLlama segnala record di breach nel secondo trimestre 2026
Secondo i dati di DefiLlama, l’attacco a Polymarket rappresenta l’89° breach di sicurezza nel secondo trimestre del 2026, un numero che non ha precedenti nella storia della piattaforma di monitoraggio. Non si tratta solo del trimestre più costoso: è il periodo con il maggior numero assoluto di incidenti mai registrato, il che suggerisce una proliferazione qualitativa e quantitativa degli attacchi, non un semplice aumento di valore sottratto.
Questo record riflette una realtà strutturale: man mano che la DeFi cresce in adozione e in valore gestito, diventa un bersaglio sempre più appetibile per attori malevoli con risorse e sofisticazione crescenti.
Panoramica degli exploit e delle perdite di giugno 2026
Nel solo mese di giugno 2026, DefiLlama ha registrato $74,9 milioni di perdite distribuite su 29 exploit distinti. Il dato supera i $60,5 milioni di maggio, pur restando lontano dal picco di aprile, che aveva toccato i $644 milioni.
Tra gli episodi più rilevanti del mese figurano l’exploit da $36 milioni ai danni di Humanity Protocol, una perdita di $4,7 milioni sul bridge di Secret Network, due exploit separati da $2,1 milioni ciascuno su Aztec, e un attacco al bridge di Taiko da $1,7 milioni.
Un dato particolarmente rilevante riguarda la tipologia di vulnerabilità: DefiLlama ha riportato che le compromissioni di chiavi private hanno rappresentato il 43% delle perdite negli ultimi 30 giorni. I fake proof exploit hanno pesato per il 10%, mentre i reverse MEV honeypot per l’8%.
Precedente incidente di sicurezza su Polymarket
Quello di fine giugno non è il primo campanello d’allarme per Polymarket. Circa un mese prima, la piattaforma aveva già vissuto un episodio di sicurezza distinto, con dinamiche e impatti diversi.
Compromissione di una chiave privata vecchia sei anni con perdita di $600.000
In quel caso, gli attaccanti avevano sfruttato una chiave privata risalente a sei anni fa, utilizzata per operazioni interne di top-up. Sfruttando questo accesso, hanno sottratto circa $600.000. I ricercatori di sicurezza ZachXBT, PeckShield e Bubblemaps avevano individuato per primi attività sospette legate al contratto UMA CTF Adapter di Polymarket su Polygon. Bubblemaps aveva segnalato prelievi di 5.000 POL ogni 30 secondi prima di stimare il totale sottratto.
Chiarimenti sulle cause dell’incidente e sicurezza della piattaforma
Il contributor di protocollo Shantikiran Chanal aveva chiarito che quell’incidente era riconducibile a un wallet operativo compromesso, non a una vulnerabilità nei contratti o nell’infrastruttura core della piattaforma. Stevens aveva confermato che tutti i permessi legati alla chiave compromessa erano stati revocati e che i fondi degli utenti e gli smart contract erano rimasti intatti.
Due incidenti in un mese, per quanto distinti nella natura e nel vettore d’attacco, pongono inevitabilmente interrogativi sulla gestione complessiva della sicurezza operativa. Il fatto che entrambi abbiano avuto origine da componenti periferiche — un fornitore terzo nel caso del phishing, una chiave obsoleta nel caso precedente — suggerisce che il perimetro più vulnerabile non sia il protocollo, ma tutto ciò che gli orbita intorno.
Per il settore DeFi nel suo complesso, la lezione è chiara: la sicurezza on-chain non basta più. Ogni dipendenza esterna, ogni chiave dimenticata, ogni integrazione con vendor di terze parti rappresenta un potenziale punto d’ingresso. E con 89 breach in un solo trimestre, il ritmo con cui questi punti vengono trovati e sfruttati non accenna a rallentare.
FAQ
Come si è verificato l’attacco phishing a Polymarket?
Gli attaccanti hanno compromesso un fornitore terzo che Polymarket utilizzava per il suo frontend, iniettando uno script malevolo nell’interfaccia della piattaforma. Gli utenti che hanno interagito con il sito durante la finestra di vulnerabilità hanno esposto i propri wallet al codice ostile, consentendo ai criminali di sottrarre i fondi.
Quanto è stato sottratto e quanti utenti sono stati colpiti?
L’attacco ha drenato circa $2,94 milioni da almeno 11 wallet di utenti. I fondi in PUSD sono stati convertiti in ETH e consolidati in un unico indirizzo.
Come ha risposto Polymarket all’attacco phishing?
Polymarket ha rimosso rapidamente la dipendenza malevola, contenuto l’incidente e si è impegnata a rimborsare integralmente tutti gli utenti colpiti, contattandoli direttamente.
Qual è il contesto più ampio di questo attacco nella sicurezza crypto?
L’attacco rappresenta l’89° breach di sicurezza crypto registrato da DefiLlama nel secondo trimestre del 2026, il record storico per numero di incidenti in un trimestre. Nel solo mese di giugno 2026, le perdite totali da exploit nel settore hanno raggiunto $74,9 milioni su 29 episodi distinti.
Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.
