Il 25 giugno 2026 Polymarket, la più grande piattaforma di prediction market al mondo, ha confermato un attacco informatico. Circa 3 milioni di dollari sottratti agli utenti.
Il dettaglio che cambia tutta la storia è uno solo: gli smart contract non sono stati toccati. A cedere è stato il sito.
Cosa è successo a Polymarket?
La mattina del 25 giugno un fornitore terzo di Polymarket è stato compromesso. Da quella falla, gli attaccanti hanno iniettato uno script malevolo nel frontend della piattaforma, servito ad alcuni utenti che interagivano con il sito.
Secondo le stime on-chain di PeckShield e Bubblemaps, sono stati prosciugati circa 3 milioni di dollari da meno di 15 wallet. I fondi erano in pUSD, la stablecoin garantita da USDC usata su Polymarket. Da lì sono stati trasferiti da Polygon a Ethereum e convertiti in circa 1.893 ETH, una mossa classica per offuscare le tracce.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
— Polymarket Traders (@PolymarketTrade) June 25, 2026
Polymarket ha dichiarato di aver contenuto l'incidente, rimosso la dipendenza compromessa e avviato il rimborso integrale degli utenti colpiti.
Perché non è stato un attacco alla blockchain?
Questa è la parte che conta, e che gran parte della cronaca salta. L'attacco non ha sfruttato alcuna vulnerabilità degli smart contract di Polymarket. Il protocollo, sulla blockchain, ha funzionato come doveva.
Si è trattato di un attacco alla supply chain: invece di forzare il codice on-chain, gli aggressori hanno colpito un anello debole esterno, il fornitore che fornisce codice al sito. Una applicazione decentralizzata ha due strati: gli smart contract immutabili sulla blockchain e l'interfaccia web che ci parli sopra. Il primo era blindato. Il secondo no.
È il paradosso della sicurezza in Web3. Puoi avere un caveau a prova di bomba, ma se qualcuno manomette la porta d'ingresso del palazzo, i tuoi soldi escono lo stesso.
Come hanno rubato i fondi?
Lo script iniettato agiva come un attacco di phishing silenzioso. Agli utenti serviti dalla versione compromessa del sito venivano presentate richieste di transazione manipolate. Chi firmava, autorizzava di fatto il trasferimento dei propri pUSD verso l'indirizzo dell'attaccante.
Tutto si è svolto in chiaro, sulla blockchain. È proprio per questo che gli investigatori on-chain hanno ricostruito il percorso in poche ore: l'analista Specter è stato il primo a segnalare i movimenti sospetti, seguito da Bubblemaps e PeckShield. Chiunque, con un blockchain explorer, poteva vedere i fondi confluire in un unico wallet.
We've resolved the issue & are refunding affected users in full: https://t.co/xaYD7666EG
— LeGate (@williamlegate) June 25, 2026
Non è il primo caso: il pattern di Polymarket
Il problema è che non è un episodio isolato. È il secondo incidente di sicurezza in due mesi. A maggio 2026 Polymarket aveva subito un attacco diverso, con circa 700 mila dollari sottratti da wallet operativi interni usati per i premi, a causa di una chiave privata vecchia di sei anni. Quella volta i fondi degli utenti non furono toccati.
I due attacchi a Polymarket nel 2026
Stime on-chain (PeckShield, Bubblemaps). Maggio: chiave privata, fondi interni. Giugno: supply-chain, fondi utenti
chiave privataGiugno 2026
supply-chain
L'attacco arriva nella settimana peggiore della piattaforma. Un'inchiesta del Wall Street Journal ha rivelato che Polymarket avrebbe pagato creator per pubblicare video di scommesse e vincite false. A questo si aggiungono i recenti casi di insider trading e i blocchi normativi in diversi Paesi europei, Italia inclusa.
Cosa dice il quadro più ampio?
Polymarket non è un'eccezione. Secondo DefiLlama, il suo è stato l'ottantanovesimo attacco alla sicurezza segnalato nel secondo trimestre del 2026, il numero più alto mai registrato in un singolo trimestre. A giugno le perdite da exploit hanno toccato 74,9 milioni di dollari, contro i 60,5 di maggio.
Da dove arrivano le perdite da exploit
Quota sulle perdite da exploit crypto negli ultimi 30 giorni. Fonte: DefiLlama, giugno 2026
- Compromissione di chiavi private — 43%
- Altri vettori (supply-chain, phishing, smart contract) — 57%
Il messaggio dei dati è chiaro. Sempre più spesso a essere violato non è il codice della blockchain, ma la sicurezza operativa: chiavi gestite male e dipendenze esterne non controllate.
Cosa significa per chi usa le DApp?
La lezione è scomoda ma necessaria. Affidarsi a un protocollo decentralizzato sicuro non basta, se l'interfaccia che usi per accedervi può essere manomessa. Lo strato web resta una superficie d'attacco enorme, anche nel mondo Web3.
La difesa concreta è una sola: leggere ogni transazione prima di firmarla, mai in automatico. Per le somme importanti vale la pena valutare l'autocustodia con un wallet hardware, che mostra l'indirizzo di destinazione reale sul proprio schermo, dove uno script malevolo non può intervenire. E imparare a riconoscere i segnali di un attacco resta la migliore assicurazione.
Polymarket ha reagito in fretta e si è impegnata a rimborsare tutti. Resta la domanda di fondo, la stessa che pesa su un settore in piena crescita come i prediction market: la sicurezza operativa sta tenendo il passo dei volumi? Due falle in due mesi suggeriscono di no.
Questo articolo ha scopo puramente informativo e non costituisce consulenza finanziaria o di investimento. Le cripto-attività sono ad alto rischio e puoi perdere parte o tutto il capitale investito.
