A Polymarket confirmou que hackers drenaram aproximadamente US$ 3 milhões por meio de um fornecedor terceirizado comprometido que injetou código malicioso no site da plataforma e prometeu reembolso total a menos de 15 contas afetadas.
A Polymarket confirmou na sexta-feira que hackers drenaram aproximadamente US$ 3 milhões dos usuários por meio de um fornecedor terceirizado comprometido que injetou código malicioso no site da plataforma, de acordo com a PeckShield. A plataforma de previsão do mercado disse que continha a violação e reembolsaria integralmente os usuários afetados.
“Esta manhã descobrimos que um fornecedor terceirizado foi comprometido, injetando um script malicioso em nosso frontend para alguns usuários”, postou a conta X oficial da Polymarket na sexta-feira. “Contivemos e removemos a dependência afetada. Estamos entrando em contato com os usuários afetados e reembolsando-os integralmente.”
A empresa de segurança Blockchain PeckShield estimou que cerca de US$ 3 milhões em pUSD, stablecoin de negociação da Polymarket apoiada por USDC no Polygon, foram roubados. Um analista de blockchain citado pela SecurityWeek confirmou perdas de pelo menos 11 contas de vítimas. O invasor transferiu os fundos roubados do Polygon para o Ethereum e os trocou por aproximadamente 1.893 ETH. A empresa de análise on-chain Bubblemaps concluiu que menos de 15 contas foram afetadas no geral.
Vetor da cadeia de suprimentos
O ataque não afetou os principais contratos inteligentes ou servidores back-end da Polymarket. Em vez disso, o invasor comprometeu uma dependência de software de terceiros não identificada que o frontend da web da Polymarket carrega. Quando os usuários conectavam suas carteiras ao site afetado, um script oculto acionava avisos de aprovação de transação, encaminhando fundos para carteiras controladas pelo invasor. A Polymarket não identificou publicamente qual fornecedor foi violado.
O vetor de ataque segue um padrão agora documentado em criptografia. Em dezembro de 2023, um invasor sequestrou as credenciais de publicação npm de um ex-funcionário da Ledger e enviou versões maliciosas de `@ledgerhq/connect-kit`, uma biblioteca JavaScript carregada por mais de 100 frontends DeFi. Esse compromisso da cadeia de suprimentos drenou os fundos dos usuários antes que um patch fosse lançado. A violação da Polymarket segue a mesma lógica: a camada de protocolo permaneceu intacta enquanto o mecanismo de entrega da interface web se voltou contra os usuários.
Segunda violação em dois meses
A Polymarket, avaliada em aproximadamente US$ 9 bilhões, registrou US$ 25,7 bilhões apenas no volume de negócios de março de 2026. O volume mensal do mercado de previsão global aumentou para aproximadamente US$ 21 bilhões, de acordo com a pesquisa do TRM Labs.
A violação de sexta-feira é o segundo incidente de segurança relatado na plataforma nos últimos meses. A Polymarket se comprometeu a absorver o custo total dos reembolsos para que nenhum usuário afetado sofra perda líquida.
Contexto Regulatório
A violação veio junto com relatórios separados da Bloomberg e da CNBC de que a CFTC abriu uma ampla investigação sobre a Polymarket, após uma investigação do Wall Street Journal que revelou uma campanha de marketing enganosa de influenciadores. O Defiant informou que os senadores bipartidários perguntaram ao presidente da CFTC se a agência estava investigando essa campanha. A investigação do WSJ encontrou US$ 1,9 milhão em vitórias aparentemente fabricadas em vídeos de criadores.
A Polymarket recebeu autorização da CFTC para reentrar no mercado dos EUA em novembro de 2025, após anos bloqueando usuários americanos, e lançou um aplicativo regulamentado em dezembro de 2025 sob essa aprovação. The Defiant cobriu a decisão de Zuckerberg de ordenar que a Meta construísse um aplicativo concorrente de mercado de previsão com o codinome Arena e explorasse parcerias potenciais com Polymarket e Kalshi.
A investigação da CFTC está em andamento sem nenhum cronograma anunciado. A Polymarket não divulgou quando os usuários afetados receberão seus reembolsos.
Fontesthedefiant
