Polymarket ha confermato che alcuni utenti hanno subito il furto di fondi dopo una violazione legata a un fornitore terzo. La società, attiva nel mercato delle previsioni, ha dichiarato che l’incidente ha consentito agli hacker di inserire codice malevolo nel proprio sito per una parte degli utenti, senza precisare quanti account siano stati coinvolti.
Nel messaggio pubblicato su X, l’azienda ha affermato di aver contenuto l’incidente e di essere al lavoro per contattare le persone colpite. Polymarket ha inoltre dichiarato che gli utenti interessati saranno rimborsati integralmente, un passaggio che sposta il caso dal piano puramente tecnico a quello della fiducia operativa in una piattaforma che gestisce pagamenti e saldi in criptovaluta.
Il quadro resta ancora parziale. Connor Brandi, portavoce di Polymarket, ha confermato che la violazione ha portato al furto di fondi degli utenti, ma non ha fornito ulteriori dettagli sull’accaduto. Restano quindi aperte le domande centrali: quale componente della catena di fornitura sia stata compromessa, per quanto tempo il codice sia rimasto attivo e con quali criteri siano stati individuati gli utenti esposti.
Quasi in contemporanea alla comunicazione della società, la società di monitoraggio blockchain PeckShield ha segnalato su X una campagna di phishing rivolta agli utenti Polymarket. Secondo PeckShield, gli hacker avrebbero sottratto circa 3 milioni di dollari in criptovalute. Un analista blockchain ha indicato perdite simili e ha sostenuto che i fondi sarebbero stati rubati a più di 11 vittime.
La natura dell’incidente mostra una vulnerabilità tipica delle piattaforme digitali che integrano servizi esterni: anche quando l’infrastruttura principale resta sotto controllo, una compromissione a monte può trasformarsi in un punto di ingresso verso gli utenti finali. Nel caso di Polymarket, l’iniezione di codice nel sito ha un impatto particolarmente sensibile perché la piattaforma consente agli utenti di essere pagati in criptovaluta, un ambito in cui il recupero dei fondi dopo un trasferimento fraudolento può essere complesso.
Negli ultimi giorni, due persone sui social media avevano affermato di aver subito il furto dei propri fondi su Polymarket. Le segnalazioni pubbliche non bastano da sole a ricostruire la dinamica, ma si inseriscono nel perimetro ora riconosciuto dalla stessa società: un attacco che ha colpito alcuni utenti attraverso codice malevolo veicolato da un soggetto esterno alla piattaforma.
L’episodio arriva in una settimana già difficile per Polymarket. Domenica, un’indagine aveva rivelato che la società aveva pagato creator online per pubblicare video ingannevoli in cui apparivano vincite lucrative su scommesse che in realtà erano false. In risposta, l’azienda aveva dichiarato che avrebbe condotto un audit dei propri contenuti promozionali.
Per le imprese digitali che operano in settori ad alta esposizione finanziaria, il caso conferma quanto la sicurezza della supply chain sia ormai parte della gestione del rischio reputazionale e operativo. Polymarket ha scelto la linea del rimborso totale, ma la fase decisiva sarà la ricostruzione tecnica dell’incidente: senza dettagli su fornitore, vettore d’attacco e utenti coinvolti, la chiusura del caso resta ancora incompleta.