A empresa de inteligência Blockchain AMLBot confirmou o total do ataque à cadeia de suprimentos do Polymarket em aproximadamente US$ 3,1 milhões em PUSD em 11 carteiras de usuários, com fundos transferidos do Polygon para Ethereum e convertidos em ETH. A Polymarket prometeu reembolso total, mas não nomeou o fornecedor comprometido.
A empresa de inteligência Blockchain AMLBot fixou o total roubado no ataque à cadeia de suprimentos do Polymarket de quinta-feira em aproximadamente US$ 3,1 milhões em PUSD, fornecendo o primeiro valor em dólares na cadeia confirmado forensemente e rastreando os ativos roubados do Polygon ao Ethereum. O investigador da rede Spectre, que publicou o primeiro alerta público, identificou mais de 11 carteiras de vítimas.
AMLBot postou a contagem revisada no sábado, dois dias depois que os investigadores da rede sinalizaram pela primeira vez o dreno. O número revisa para cima as estimativas anteriores e, pela primeira vez, atribui o valor em dólares a uma única fonte de inteligência na rede. AMLBot disse que continua monitorando as contas afetadas à medida que a investigação avança.
Do front-end à ponte
O ataque, coberto pelo The Defiant na quinta-feira, começou quando um fornecedor terceirizado comprometido injetou JavaScript malicioso no site da Polymarket. O código tinha como alvo as transações do usuário na camada front-end; Os contratos inteligentes da Polymarket no Polygon permaneceram intocados. A Polymarket confirmou que menos de 15 contas foram afetadas, consistente com o escopo descrito por pesquisadores de segurança da rede que rastreiam as carteiras em tempo real.
O investigador da rede Spectre publicou o primeiro alerta público e identificou o endereço de consolidação principal do invasor no Ethereum: `0xe65b1C586757c5510B60F998Eebb14C1eF71E1eD`. PeckShield confirmou que os fundos roubados foram transferidos do Polygon para o Ethereum e depois trocados por aproximadamente 1.893 ETH. A Bubblemaps contou de forma independente menos de 15 contas afetadas e estimou US$ 3 milhões em perdas sendo reembolsadas.
PUSD é o token colateral nativo da Polymarket, um ERC-20 baseado em Polygon cunhado 1:1 contra USDC.e por meio dos contratos de garantia on-chain da plataforma. Implantado em abril de 2026 de acordo com registros on-chain, o PUSD opera exclusivamente dentro da plataforma e não carrega nenhuma listagem de exchange externa, então o invasor teve que convertê-lo para ETH para sair. O token manteve seu valor de US$ 1,00 durante todo o incidente, de acordo com os dados do PolygonScan para o contrato pUSD no Polygon.
Compromisso de reembolso, fornecedor ainda sem nome
A Polymarket postou no X na manhã de quinta-feira dizendo que continha o ataque, removeu a dependência maliciosa e reembolsaria integralmente os usuários afetados. William LeGate confirmou que o reembolso seria total, acrescentando em uma segunda postagem que “não houve ‘perdas’ de usuários”. A plataforma não nomeou publicamente o fornecedor comprometido em nenhum canal desde que o incidente foi divulgado.
As estimativas independentes iniciais estimam o roubo em US$ 2,94 milhões, com base em registros de carteiras em rede do Spectre Analyst, enquanto a PeckShield e outras empresas arredondaram para cerca de US$ 3 milhões. A atualização de sábado do AMLBot aumenta o total confirmado em aproximadamente US$ 160.000 em relação à leitura inicial do Spectre.
O TechCrunch informou que um porta-voz da Polymarket confirmou a violação, mas se recusou a fornecer mais detalhes. Pesquisadores de segurança da CyberInsider e BleepingComputer classificaram o incidente como um ataque à cadeia de suprimentos, o tipo em que uma dependência downstream injeta código hostil em um aplicativo confiável, em vez de uma exploração direta de protocolo.
Contexto da plataforma
A plataforma atualmente detém US$ 432 milhões em valor total bloqueado no Polygon, por DefiLlama. Os rastreadores de segurança que catalogaram os incidentes DeFi do segundo trimestre de 2026 contaram o ataque Polymarket de 25 de junho entre uma onda sustentada de comprometimentos da cadeia de suprimentos e de front-end visando a infraestrutura DeFi em 2026.
A Polymarket se comprometeu a reembolsar integralmente os usuários afetados, mas não definiu um prazo público para a conclusão e não divulgou a identidade do fornecedor terceirizado cujo comprometimento desencadeou o ataque.
Fontesthedefiant
