Polymarket потерял $600 000 из-за уязвимости в UMA CTF Adapter: как это произошло

Хакер вывел более $600 000 из Polymarket, атаковав смарт-контракт UMA CTF Adapter на Polygon. Ончейн-детектив ZachXBT первым зафиксировал эксплойт и идентифицировал кошелек атакующего: 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91. Bubblemaps предупредил пользователей приостановить активность на платформе, когда убытки приблизились к $600 000.

Простыми словами

Polymarket — это платформа для ставок на события (например, исход выборов). Для расчета ставок она использует оракул UMA. Проблема в том, что Polymarket написал собственный «адаптер» — промежуточный код, который связывает платформу с оракулом. Этот адаптер не проходил аудит безопасности. Хакер нашел в нем уязвимость и с помощью автоматического скрипта каждые 30 секунд выводил по 5 000 токенов POL. За короткое время он забрал около $600 000. Подробнее — майнеры в наличии.

Технические детали

Целевой контракт — UMA CTF Adapter — это кастомный интеграционный слой, написанный и развернутый командой Polymarket. Он не является частью основного протокола UMA, который проходил аудит. Как указано в документации UMA, интеграторы создают собственные адаптеры поверх Optimistic Oracle, и эти адаптеры несут собственную логику и риски. Именно этот структурный пробел стал точкой входа для атаки.

Основные контракты Polymarket проходили аудит ChainSecurity в 2021–2022 годах, и все критические проблемы были устранены до запуска. Однако аудит не покрывал UMA CTF Adapter. Это типичный паттерн в DeFi: аудируются только компоненты, представленные на проверку, а интеграционные слои, добавленные позже, остаются без защиты.

Polymarket уже сталкивался с рисками, связанными с оракулами. Ранее инцидент с ошибочными данными из офчейна (так называемый «парижский случай») показал, что адаптеры и дизайн оракулов — системное слабое место для платформ прогнозов, независимо от корректности базовых контрактов.

Что дальше

После атаки хакер распределил украденные средства по 15 кошелькам, чтобы усложнить отслеживание. На момент публикации средства не были перемещены в миксеры или мосты. Идентификация исходного кошелька ZachXBT дает следователям точку отсчета, но разброс по 15 адресам затрудняет возврат без помощи бирж. По нашим наблюдениям, подобные инциденты подчеркивают необходимость аудита всех интеграционных слоев DeFi-протоколов. Для российских майнеров и инвесторов, работающих с DeFi на Polygon, это напоминание: даже крупные платформы могут иметь неаудированные компоненты. В условиях регулирования РФ (ФЗ-259, 115-ФЗ) убытки от таких атак не компенсируются, а налоговая нагрузка (НДФЛ 13-15% для физлиц) сохраняется на любой доход, включая возвраты средств.