Não posso falar pelos mantenedores do Tainacan, mas para os meus sites WordPress eu não me preocupei porque meus sites hospedam o wp-polyfill-inert.min.js diretamente.
Além disso, eu trabalho para uma empresa de tecnologia multibilionária e tivemos um pouco de exposição a algumas ferramentas que usavam o CDN do polyfill.io. Mudamos essas ferramentas para um CDN diferente (polyfill-fastly.io) que traz a mesma biblioteca, já que a biblioteca em si não era o problema.
“polyfill” em si é um termo muito usado na área de desenvolvimento, muitas bibliotecas javascript usam este termo para identificar funcionalidades que ajudam a manter compatibilidade de recursos novos em navegadores antigos. Como o @Aaron bem explicou, o caso relatado diz respeito à scripts que eram puxados de um CDN (um servidor que hospeda scripts) cujo domínio era polyfill.io e este cara é que foi comprometido. Nós não usamos nada deste serviço no Tainacan pode fazer uma busca no código fonte se quiser.
Já o wp-polyfill-inert é um dos pacotes de polyfill que o WordPress usa. No nosso código, não referenciamos ele diretamente, mas o próprio WordPress o chama internamente quando usamos alguns dos seus recursos mais recentes (abra o editor do blocos, Gutenberg no seu site agora por exemplo e você verá que ele será chamado, mesmo com o Tainacan desativado). Mas não há relação dele com este serviço mencionado.