Polymarket piraté : 520 000 $ drainés sur son contrat UMA CTF Adapter
ZachXBT a frappé encore une fois vendredi, en signalant un exploit présumé sur le contrat UMA CTF Adapter de Polymarket, la plateforme de marchés prédictifs qui fait régulièrement les gros titres. Résultat : environ 520 000 dollars auraient été aspirés depuis deux adresses sur Polygon, sans le moindre communiqué officiel de la part de l'équipe.
Pour comprendre ce qui s'est passé, un peu de contexte technique s'impose. Le contrat UMA CTF Adapter joue un rôle central dans le fonctionnement de Polymarket : il fait le lien entre l'Oracle Optimiste d'UMA — le mécanisme qui valide les résultats des marchés — et le framework Gnosis Conditional Tokens utilisé pour distribuer les gains. En clair, c'est une pièce maîtresse de l'infrastructure. ZachXBT a identifié l'adresse 0x8F980…d9B91 comme directement liée à l'exploit, et PolygonScan en étiquette une autre sous le nom explicite de *"Polymarket Adapter Exploiter 1"*. Les deux adresses présumées drainées sont 0x871D7…29082 et 0xf61e3…94805. Polymarket, de son côté, n'a pas répondu aux sollicitations de The Block au moment de la publication — ce silence en dit long sur la gestion de crise de la plateforme.
Ce qui rend l'affaire particulièrement préoccupante, c'est que ce n'est pas un incident isolé. En mars 2025, un acteur unique contrôlant près de 25 % du pouvoir de vote d'UMA avait forcé la résolution d'un marché à 7 millions de dollars en sa faveur, malgré l'absence de tout événement sous-jacent. En décembre 2025, une vulnérabilité dans un fournisseur d'authentification tiers avait permis à des attaquants de vider des comptes utilisateurs. À chaque fois, Polymarket a géré l'après-coup avec un mélange de communication minimale et de correctifs tardifs. Et pourtant, la plateforme était encore en négociations en avril 2026 pour lever 400 millions de dollars à une valorisation stratosphérique de 15 milliards de dollars, après un investissement de 600 millions de dollars d'Intercontinental Exchange — la maison mère du New York Stock Exchange. Pour les acteurs des marchés crypto, ça pose une vraie question : à quel point les valorisations actuelles intègrent-elles le risque technique réel de ces protocoles ?
Franchement, pour les utilisateurs francophones présents sur Polymarket — ils sont loin d'être rares, la plateforme ayant explosé lors des élections américaines de 2024 — la situation est inconfortable. Les fonds directement impactés semblent être ceux liés au contrat Adapter plutôt que les soldes utilisateurs classiques, mais tant que Polymarket ne publie pas une analyse précise des dégâts, impossible de savoir qui paie vraiment la note. Et c'est précisément là le problème : une plateforme valorisée 15 milliards de dollars ne peut pas se permettre de traiter ses incidents de sécurité comme des rumeurs à ignorer.
La confirmation officielle d'UMA et de Polymarket reste le point de bascule. Si l'exploit est avéré et que le vecteur d'attaque touche à la logique de résolution des marchés, les conséquences pourraient dépasser largement les 520 000 dollars initiaux — en termes de confiance, de liquidité et de réputation auprès des investisseurs institutionnels qui regardent désormais le secteur de très près.
