Polymarket : le vol de fonds utilisateur approuvé, le service tiers « connexion en un clic » devient une faille

Polymarket, la plateforme de prévision Crypto, a été victime d’un vol de fonds la veille de Noël, la faille étant due à un service de portefeuille tiers Magic Labs, mettant en lumière le risque de point unique derrière la commodité du Web3.
(Précédent : Le leader du marché des prévisions Polymarket annonce la création d’un L2, la carte maîtresse de Polygon est-elle perdue ?)
(Contexte supplémentaire : Comment réaliser un rendement annuel de 40 % via arbitrage sur Polymarket ?)

Le leader du marché des prévisions Crypto Polymarket aurait vu ses fonds dérobés, plusieurs utilisateurs ayant exprimé leur colère sur X et Reddit dans la nuit du 24 décembre, « leur solde de compte étant vidé ».

La plateforme a immédiatement reconnu une faille de sécurité sur son Discord officiel, pointant du doigt « un fournisseur de services tiers ». L’outil de traçage on-chain Lookonchain a ensuite ciblé le fournisseur de services de portefeuille Magic Labs, faisant de cet incident la faille de sécurité la plus suivie du marché Crypto à la fin de 2025.

La société affirme avoir corrigé la faille, mais certains restent inquiets.

Moins d’une heure après la fuite d’informations par les utilisateurs, Polymarket a publié un communiqué :

Nous avons identifié une vulnérabilité liée à un fournisseur de services tiers, qui a été corrigée. Seuls un très petit nombre d’utilisateurs ont été affectés, et nous contacterons activement ces utilisateurs.

Le communiqué n’a pas révélé le montant des pertes ni le nombre de victimes, mais a suscité une panique accrue. Selon le volume de transactions mensuelles de Polymarket en 2025, estimé à plusieurs dizaines de milliards de dollars, même une « minorité » pourrait représenter des pertes importantes.

Contrairement aux attaques de phishing classiques, aucune lien suspect n’a circulé au moment de l’incident, et de nombreux victimes avaient même activé la 2FA par email. La faille critique ne se trouvait pas côté utilisateur, mais dans l’authentification tierce en arrière-plan.

La faille d’accès via Magic Labs

Pour réduire la barrière d’entrée, Polymarket a intégré le « Générateur d’un clic d’email pour portefeuille non custodial » de Magic Labs. Les utilisateurs n’ont pas besoin de sauvegarder leur phrase de récupération, ils peuvent simplement envoyer un code de vérification pour gérer leurs actifs Ethereum. Cependant, les attaquants ont exploité une vulnérabilité du système d’authentification de Magic Labs pour prendre le contrôle des portefeuilles, rendant la 2FA inefficace.

Les flux on-chain montrent que les hackers ont rapidement divisé leurs fonds et utilisé des techniques de mixage en plusieurs couches pour compliquer la traçabilité. Bien que la société affirme que la faille a été « corrigée », elle n’a pas encore publié de rapport complet sur l’incident.

Par ailleurs, la société de sécurité SlowMist a alerté sur la présence de bots malveillants sur GitHub, ciblant spécifiquement les traders avancés utilisant des scripts automatisés pour Polymarket. Ces programmes lisent des fichiers de configuration locaux et volent en secret les clés privées, bien que cela ne soit pas directement lié à la faille Magic Labs, cette attaque ayant éclaté le même jour.