Il 22 maggio 2026, un incidente di sicurezza ha causato il prelievo di oltre 520.000 dollari di garanzie dal contratto UMA CTF Adapter della piattaforma Polygon.
L'investigatore on-chain ZachXBT ha segnalato l'incidente in un avviso della community e ha indicato un indirizzo di distribuzione compromesso come probabile punto di ingresso per l'attacco. Il prelievo di fondi si è verificato in un breve lasso di tempo intorno alle 09:00 UTC.
Al momento della stesura di questo articolo, non era stato pubblicato alcun avviso ufficiale da parte di Polymarket o UMA.
Come si è conclusa la vicenda del drenaggio del Polymarket?
L'attacco ha preso di mira il contratto di amministrazione dell'adattatore Polymarket UMA CTF all'indirizzo 0x91430C…E5c5, che è un proxy aggiornabile che gestisce l'adattatore principale che detiene la garanzia di mercato. La blockchain rivela gli eventi iniziali registrati sul contratto di amministrazione intorno alle 09:00:30 UTC. Questo dovrebbe far scattare un campanello d'allarme riguardo a uno sfruttamento di un pattern proxy.
Gli eventi iniziali sono stati rapidamente seguiti da trasferimenti della valuta nativa di Polygon, POL. Alle 09:00:49, l'amministratore dell'adattatore ha ricevuto 5.000 POL da un indirizzo Polymarket. Cinque secondi dopo, ne ha inviati quasi 9.994 all'account controllato dall'attaccante. Lo schema si è ripetuto alle 09:01:19 con un altro afflusso di 5.000 POL, seguito da un trasferimento di quasi 5.000 POL allo stesso indirizzo dell'attaccante alle 09:01:26.
Il trasferimento in due fasi ha spostato oltre 10.000 POL fuori dall'adattatore in meno di un minuto. Gli indirizzi svuotati elencati da ZachXBT, 0x871D7c0f e 0xf61e39C7, avevano inviato garanzie all'adattatore che l'attaccante ha poi prelevato tramite il contratto di amministrazione. L'indirizzo principale dell'attaccante ha ricevuto i trasferimenti di POL e ha iniziato a consolidare i fondi poco dopo.
Una chiave compromessa, non un bug dello smart contract.
In questo modo, la catena di chiamate di inizializzazione al contratto di amministrazione mostra il rischio di furto di chiavi e vulnerabilità di inizializzazione, piuttosto che un problema con la logica dell'oracolo ottimistico UMA. Il contratto era basato sull'oracolo UMA, ma la violazione si è verificata a livello di controllo degli accessi e l'hacker ha ottenuto la possibilità di effettuare chiamate riservate all'amministratore.
Si può presumere che il processo di implementazione sia avvenuto tramite una chiave compromessa dagli aggressori oppure che fosse disponibile un proxy di contratto non inizializzato sfruttabile. Dopo aver ottenuto i privilegi di amministratore, l'hacker ha potuto prelevare l'intero saldo del collaterale senza bisogno di exploit personalizzati.
L'attacco hacker a Polymarket presenta analogie con eventi simili segnalati all'inizio del 2026. Ad esempio, l' attacco hacker a Step Finance, che ha causato una perdita di circa 27,3 milioni di dollari, è avvenuto a causa di una violazione della chiave esecutiva e del meccanismo multi-firma all'inizio del 2026.
Un caso simile è l' attacco hacker al protocollo Drift, che ha causato una perdita di circa 285 milioni di dollari; è avvenuto nell'aprile del 2026 a seguito di una chiave di amministrazione ottenuta tramite ingegneria sociale, che ha permesso di inserire nella whitelist garanzie prive di valore. Non sono state riscontrate vulnerabilità software in quegli smart contract.
Attività e tracciamento del portafoglio dell'attaccante
L'indirizzo 0x8F98075d dovrebbe essere segnalato come altamente sospetto perché è stato la destinazione di entrambi i trasferimenti di garanzia POL e rappresenta la maggiore opportunità per il trasferimento di valore rubato da o verso la rete Polygon.
Analogamente, si può presumere che l'indirizzo intermedio coinvolto nell'inizializzazione delle chiamate 0x65070BE9 sia controllato da malintenzionati e meriti un monitoraggio simile.
Sulla base di esperienze passate, è possibile che il prossimo passo preveda il trasferimento di fondi tra diverse blockchain e operazioni di mixing. Nel caso di Drift , i fondi rubati sono stati parzialmente trasferiti su Ethereum tramite il protocollo cross-chain di Circle prima del riciclaggio. Non sono state segnalate, al momento, transazioni in uscita di ingente entità dagli indirizzi sospetti.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter .