- Le piratage des comptes utilisateurs de Polymarket a été attribué à une authentification tierce, et non à des failles du protocole.
- L'intégration de portefeuilles basée sur l'email a permis la vidange des comptes sans exploitation de contrats intelligents.
- L'incident met en lumière un risque systémique du Web3, les services de connexion tiers devenant des points de défaillance.
Polymarket a indiqué que des attaquants ont vidé un nombre limité de comptes utilisateurs après avoir exploité une faille dans un service de connexion tiers. Les utilisateurs ont décrit des pertes soudaines de solde et des positions fermées après plusieurs connexions. Polymarket a confirmé l'incident le 24 décembre 2025 et a déclaré avoir corrigé le problème.
Des signalements sont apparus les 22 et 23 décembre 2025 sur X, Reddit et Discord. Un utilisateur Reddit a signalé trois tentatives de connexion, suivies d'un solde de 0,01 $. Un autre utilisateur a rapporté des faits similaires et a précisé que l'authentification à deux facteurs par email n'avait pas empêché la vidange.
L'authentification tierce fait de l'intégration un point faible partagé
Polymarket a indiqué qu'un fournisseur d'authentification tiers avait introduit la vulnérabilité. La société a publié sur son canal Discord officiel qu'elle avait identifié et résolu le problème. Polymarket a décrit l'incident comme ayant affecté un petit nombre d'utilisateurs.
Polymarket n'a pas nommé le fournisseur tiers ni divulgué le montant total volé. Cependant, la plateforme a déclaré que son protocole principal restait sécurisé et que le problème était limité à l'authentification. Elle a également précisé que la correction avait supprimé le risque persistant et qu'elle contacterait les utilisateurs concernés.
Cette approche détourne l'attention de la mécanique du marché pour la porter sur la pile d'intégration crypto. De nombreuses plateformes dépendent de services externes d'identité, de portefeuille et de connexion pour accélérer l'inscription. Par conséquent, une faiblesse chez un fournisseur peut exposer des utilisateurs sur plusieurs applications.
Les connexions de portefeuilles par email augmentent les risques liés à l'accès aux portefeuilles intégrés
Des publications d'utilisateurs suggèrent que de nombreux comptes affectés utilisaient un accès par “lien magique” basé sur l'email plutôt qu'une connexion directe au portefeuille. Plusieurs signalements ont mentionné Magic Labs comme méthode d'inscription courante, bien que Polymarket n'ait pas confirmé ce lien. Les utilisateurs ont également indiqué qu'ils n'avaient pas cliqué sur des liens suspects avant la vidange.
Les fournisseurs de portefeuilles basés sur l'email créent souvent des portefeuilles Ethereum non-custodiaux lors de l'inscription. Cette configuration attire les nouveaux utilisateurs de crypto qui ne gèrent pas d'extensions ou de phrases de récupération. Cependant, le fournisseur contrôle toujours des éléments clés du processus de connexion et de récupération.
Les utilisateurs de Polymarket ont décrit des soldes USDC vidés sans signaux d'approbation clairs. Les signalements ont également fait état de positions fermées rapidement après l'accès non autorisé. Par conséquent, l'incident met en évidence la façon dont la sécurité des comptes peut échouer au-dessus de la couche des contrats intelligents.
À lire aussi : Polymarket Leads Crypto Protocols in User Retention Rate
Les incidents passés de Polymarket montrent la pression sur la couche d'accès
Cette faille fait écho à des signalements d'utilisateurs de septembre 2024 impliquant des connexions via Google. Les utilisateurs ont décrit des vidanges de portefeuilles où les attaquants utilisaient des appels de fonction “proxy”. Selon les témoignages, ces appels transféraient des fonds USDC vers des adresses de phishing.
Polymarket avait alors considéré ces événements comme des exploits potentiellement ciblés liés à l'authentification tierce. Cet historique est important car il pointe vers le même risque structurel. Les systèmes d'authentification et de session peuvent devenir des cibles à fort impact.
Une menace distincte est apparue en novembre 2025, lorsque des escrocs ont exploité les sections de commentaires de Polymarket. Les utilisateurs ont signalé des pertes dépassant 500 000 $ après que des attaquants ont publié des liens déguisés. Ces liens dirigeaient les victimes vers des pages frauduleuses capturant les connexions email.
L'incident de décembre 2025 met à nouveau l'accent sur le risque d'intégration, et non sur des échecs de règlement. Polymarket n'a pas publié d'analyse technique post-mortem ni de chronologie complète de l'incident. Il n'a pas non plus précisé s'il rembourserait les utilisateurs pour leurs pertes.
Pendant ce temps, les utilisateurs ont comparé les méthodes de connexion et partagé des adresses de portefeuilles dans des fils publics. Certains se sont tournés vers des connexions directes au portefeuille pour des soldes plus élevés. L'épisode renforce une conclusion plus large pour l'intégration crypto : les rails d'identité et de portefeuille tiers sont désormais sur le chemin critique, ce qui en fait le point le plus fragile de l'écosystème.
