Как это устроено простыми словами. Когда человек заходит на криптосервис, кошелёк обычно не отдаёт деньги сайту напрямую. Он сначала подписывает разрешение: этому адресу можно работать с такими-то токенами. Если на странице появляется вредный скрипт, он может подсунуть пользователю не обычное действие, а разрешение или перевод в пользу атакующего. В интерфейсе это выглядит как привычное подключение кошелька, а в блокчейне потом уже видно движение денег.
Поэтому эта атака неприятнее обычного «взломали биржу». Polymarket мог иметь нормальные контракты, но пользователь видел не чистую витрину, а витрину с чужой вставкой. Деньги не лежали в базе данных компании. Они лежали в кошельках пользователей, а сайт стал местом, где у этих кошельков выпросили опасное действие.
Слабое место тут не только Polymarket. Почти любой современный веб-сервис собирает страницу из своего кода, аналитики, виджетов, библиотек, платёжных модулей и кода подрядчиков. В обычном интернет-магазине такая поломка может украсть карту или пароль. В криптосервисе она крадёт разрешение на токены, а потом деньги уходят за минуты.
Polymarket заявил, что удалил вредный код и вернёт средства пострадавшим. Это важная деталь: компания берет ущерб на себя, хотя технически удар прошёл через чужой компонент. Для рынка прогнозов это ещё и репутационный удар. Люди приходят туда спорить о выборах, ставках ФРС и событиях, но внезапно главный риск оказался не в прогнозе, а в странице, где пользователь нажимает кнопку.
Практическая память простая. Если кошелёк просит разрешение на крупную сумму или непонятный токен, это не «ещё одно всплывающее окно». Это может быть доступ к деньгам. Для криптосервисов проверка подрядчиков теперь такая же часть безопасности, как аудит смарт-контрактов. Дверь может быть крепкой, но касса всё равно стоит у витрины.