Polymarket est un protocole de marchés prédictifs. Celui-ci permet à ses utilisateurs de parier sur l’issue d’événements. Elle a notamment rencontré un large succès fin 2024, en parallèle de l’élection présidentielle aux États-Unis. Malheureusement, les nouvelles ne sont pas bonnes pour Polymarket. En effet, la plateforme a été victime d’une attaque par manipulation d’oracle sophistiquée.
- Polymarket a été la cible d’une attaque par manipulation d’oracle, ce qui a entraîné la clôture frauduleuse d’un marché prédictif sur les terres rares en Ukraine.
- L’utilisateur frauduleux a exploité le système de gouvernance de l’oracle UMA, causant un scandale et de lourdes pertes pour les parieurs, sans possibilité de remboursement.
Polymarket victime d’une attaque par manipulation d’oracle
Mercredi 26 mars, aux alentours de 1h du matin, les équipes de Polymarket ont alerté leur communauté d’une importante manipulation sur leur plateforme.
En pratique, cela s’est déroulé sur un marché prédictif lié aux terres rares en Ukraine. En effet, le marché « L’Ukraine accepte l’accord de Trump sur les minerais avant avril ? » visait à parier sur un potentiel accord entre les USA et l’Ukraine. Entre le 24 et le 25 mars, la probabilité de l’événement est passée de 9 à 100%. Soulevant des questions quant à une potentielle manipulation.
Alors qu’aucun accord n’a pour l’instant été trouvé entre les deux pays, le marché prédictif a été clôturé.
« Ce marché s’est résolu à l’encontre des attentes de nos utilisateurs et de notre clarification. Malheureusement, comme il ne s’agit pas d’une défaillance du marché, nous ne sommes pas en mesure de procéder à des remboursements. »
Dans les faits, ce marché a été clôturé de manière frauduleuse par un utilisateur ayant exploité le système de gouvernance de l’oracle UMA utilisé par Polymarket.
Malheureusement, les équipes de Polymarket ont annoncé qu’aucun remboursement ne serait possible.
« Nous sommes conscients de la situation concernant le marché des terres rares en Ukraine. Ce marché s’est résolu à l’encontre des attentes de nos utilisateurs et de notre clarification. Malheureusement, comme il ne s’agit pas d’une défaillance du marché, nous ne sommes pas en mesure d’effectuer des remboursements. »
Les dessous de l’attaque
En effet, Polymarket utilise l’oracle d’UMA (Universal Market Access) pour finaliser les marchés. De son côté, UMA fournit un système d’oracle basé sur un vote des détenteurs de tokens UMA pour valider les résultats des marchés.
Et c’est précisément ce système qui a été exploité par l’utilisateur frauduleux. Armé de trois adresses différentes comptabilisant 5 millions de jetons UMA, l’utilisateur a été en mesure de forcer la clôture du marché prédictif.
Sans surprise, cette manipulation lui a permis de réaliser un important profit en clôturant les paris en sa faveur.
Désormais, les développeurs de Polymarket sont en contact étroit avec ceux d’UMA pour éviter qu’un tel événement ne se reproduise. Ils ont notamment abordé leur volonté de créer un système de surveillance des votes.
Espérons désormais qu’une telle attaque ne se reproduise pas avant que Polymarket et UMA aient le temps de mettre à niveau leurs systèmes.
De son côté, Polymarket fait face aux foudres des régulateurs dans de nombreux pays. Après la France et Singapour, la Thaïlande souhaite bannir Polymarket, qui y serait considéré comme un « site illégal de jeux de hasard ».
