Faille de sécurité chez Polymarket : une vulnérabilité externe compromet les comptes des utilisateurs

L’outil d’authentification tiers devenu une porte d’entrée pour les cybercriminels

Le 24 décembre 2025, Polymarket, plateforme de marchés prédictifs, a confirmé qu’une faille affectant un service d’authentification externe avait permis à des attaquants de s’introduire dans les comptes utilisateurs et d’en détourner les fonds. Cette brèche met en évidence une vulnérabilité majeure dans le champ de la sécurité des marchés prédictifs, touchant particulièrement les utilisateurs ayant opté pour la connexion par e-mail au lieu d’un accès direct via portefeuille. L’incident révèle une faiblesse structurelle des plateformes de finance décentralisée qui intègrent des prestataires d’authentification tiers sans protocoles d’isolation appropriés.

La solution d’authentification compromise, identifiée par de nombreux utilisateurs comme impliquant Magic Labs, gère les connexions « magic link » par e-mail et crée des portefeuilles Ethereum non-custodiaux. Les utilisateurs enregistrés par ce biais ont constaté de multiples tentatives d’accès illicites, suivies d’un vidage intégral de leurs comptes. Plusieurs témoignages font état de notifications de connexion suspecte sur les réseaux sociaux, puis d’une chute du solde USDC à des niveaux quasi nuls. La faille est demeurée active assez longtemps pour permettre aux attaquants de cibler et exploiter systématiquement les comptes affectés sur la plateforme. Le protocole principal de Polymarket est lui resté indemne, la compromission se limitant à la couche d’authentification externe. Cette distinction est essentielle : elle montre que même les systèmes décentralisés restent exposés à des risques majeurs via leurs dépendances centralisées. Les utilisateurs touchés ont décrit des schémas identiques de compromission, tous rattachés au même canal d’authentification, ce qui a permis aux équipes techniques d’identifier rapidement le vecteur d’attaque.

Exploitation de la faille Polymarket : comment les attaquants ont vidé les comptes utilisateurs

Les attaquants ont tiré parti de la vulnérabilité de l’authentification tierce grâce à une séquence d’intrusions, contournant les protections habituelles. La faille du système de connexion par e-mail a permis aux acteurs malveillants d’accéder sans autorisation aux comptes, échappant à la détection par les dispositifs antifraude classiques. Des notifications successives de tentatives de connexion ont été signalées par les utilisateurs, suggérant l’usage de compromis d’identifiants ou d’interception de jetons d’authentification pour pénétrer initialement les comptes. Une fois la connexion illicite établie, les attaquants ont transféré les fonds USDC avec très peu d’obstacles, directement depuis les portefeuilles liés aux comptes Polymarket.

L’analyse technique de l’attaque met en lumière des failles importantes dans la gestion de l’authentification externe par Polymarket. Le système « magic link », pensé pour faciliter l’accès, a permis aux attaquants de contourner l’authentification multi-facteurs dans certaines configurations. Un utilisateur a rapporté avoir reçu des notifications de double authentification par e-mail durant l’accès frauduleux, preuve que les cybercriminels disposaient des droits nécessaires pour franchir les barrières de vérification habituelles. Les fonds ont transité rapidement entre plusieurs adresses crypto, l’examen on-chain montrant que les actifs volés ont été immédiatement fragmentés et blanchis via de multiples portefeuilles pour masquer leur origine. L’extrême rapidité des transactions — intervenues quelques minutes après la compromission — révèle un processus automatisé et planifié, non une série de transferts manuels opportunistes. Ce niveau d’organisation indique une campagne d’attaque ciblée contre les failles des marchés prédictifs, et non de simples piratages isolés. L’absence de signaux d’approbation clairs pour les transferts d’actifs démontre que la faille d’authentification a permis un accès intégral, laissant les attaquants agir comme des titulaires légitimes. L’enquête menée par Polymarket a établi que la vulnérabilité provenait exclusivement de l’infrastructure du prestataire externe, sans lien avec les systèmes ou les smart contracts internes de la plateforme.

Défaillances majeures : causes, conséquences et négligences des utilisateurs

L’incident a été rendu possible par la combinaison de plusieurs failles de sécurité. Polymarket n’a pas assuré un suivi ni une segmentation suffisante des services d’authentification tiers, ce qui a permis l’exploitation prolongée de la faille. L’absence d’isolation entre les systèmes d’authentification et les mécanismes de transfert d’actifs a fait que la compromission d’une couche s’est répercutée directement sur les fonds. En outre, les procédures de gestion de crise manquaient de clarté concernant l’information des utilisateurs, la récupération de compte et la compensation durant la période de l’incident.

Les utilisateurs ont également négligé des signaux d’alerte qui auraient pu limiter les pertes. Beaucoup ont reçu des notifications de tentative d’accès sans modifier immédiatement leurs identifiants ou renforcer leur sécurité. Certains ont misé uniquement sur la double authentification par e-mail, ignorant que cette protection peut être contournée si le service d’authentification est compromis. Les comptes créés par des services tiers sans contrôle direct du portefeuille exposent à des risques de conservation inutile liés à l’accès par e-mail. Les conseils de la communauté sur l’usage de portefeuilles matériels ou de solutions de conservation éprouvées ont été peu suivis, la commodité ayant été privilégiée au détriment de la sécurité. De nombreux traders sur les plateformes de marchés prédictifs opèrent à haute fréquence, parfois au détriment des mesures de protection liées au mode de connexion. L’incident montre que même les investisseurs expérimentés peuvent négliger les fondamentaux de la sécurité, happés par l’activité de trading plutôt que la protection de leur compte.

Actions immédiates pour sécuriser vos crypto-actifs sur les marchés prédictifs

Les investisseurs crypto actifs sur les marchés prédictifs doivent adopter sans délai des mesures renforcées pour protéger leurs actifs et éviter toute intrusion. La première étape consiste à abandonner l’authentification par e-mail. Si vous détenez un compte sur une plateforme de marché prédictif, privilégiez une connexion directe via portefeuille matériel (Ledger, Trezor), au lieu de services intermédiaires. Cette pratique élimine le vecteur d’attaque offert par les prestataires d’authentification tiers. Si une migration immédiate n’est pas possible, activez toutes les options de sécurité disponibles, notamment l’authentification à deux facteurs via une application dédiée plutôt que par SMS ou e-mail, car la 2FA par e-mail est exposée aux mêmes vulnérabilités que celles qui ont permis la brèche.

Procédez à un audit complet des activités de vos comptes de trading sur toutes les plateformes de marchés prédictifs, en surveillant les transactions non autorisées, les positions clôturées ou tout mouvement d’actifs non initié. Examinez l’historique de votre compte et vérifiez que chaque opération correspond à vos actions. En cas d’activité suspecte, contactez immédiatement le service sécurité de la plateforme et conservez tous les relevés de transaction pour une éventuelle récupération ou déclaration réglementaire. Si la plateforme le permet, activez les restrictions géographiques ou par IP, empêchant l’accès depuis d’autres zones même en cas de compromission. Pour les comptes à solde élevé, transférez la majorité des fonds en cold storage ou vers une solution de conservation autonome entre deux sessions, n’utilisant la plateforme qu’avec le capital de trading actif. Polymarket et les plateformes similaires doivent être considérées comme des interfaces de transaction, et non comme des solutions de stockage d’actifs. Revuez régulièrement vos méthodes d’authentification et modifiez vos mots de passe tous les trois mois ou après tout incident majeur, comme celui du 24 décembre 2025. Activez des alertes via votre fournisseur de messagerie pour être informé de toute tentative d’accès ou de récupération de compte, ajoutant ainsi une couche de surveillance supplémentaire. Utilisez des adresses e-mail dédiées pour vos comptes crypto, distinctes de votre messagerie principale, afin de limiter l’impact d’une éventuelle compromission. Si vous exploitez des services tels que Gate pour votre infrastructure de trading ou la gestion de compte, assurez-vous que l’intégration repose sur les méthodes d’authentification les plus sûres et que la transparence sur le traitement des données est garantie. Surveillez les réseaux sociaux, forums communautaires et annonces officielles pour toute mise à jour de sécurité ou divulgation de faille : une information rapide sur les vulnérabilités des marchés prédictifs peut orienter vos décisions et renforcer la sécurité de vos comptes.