A plataforma de mercado de previsões Polymarket perdeu US$ 3,1 milhões depois que invasores comprometeram um fornecedor terceirizado de frontend e drenaram fundos de 11 carteiras de usuários.
Os próprios contratos inteligentes auditados da plataforma permaneceram intactos durante todo o incidente.
De acordo com um relatório, os tokens PUSD roubados foram movidos da Polygon (POL) para a Ethereum (ETH) por meio de uma ponte cross-chain. A Polymarket não revelou publicamente o nome do fornecedor comprometido.
Como o ataque funcionou
Ataques a fornecedores de frontend têm como alvo a interface web que conecta os usuários aos contratos subjacentes da plataforma. Os contratos inteligentes em si mantêm e administram os fundos, mas os usuários interagem por meio de uma camada baseada em navegador construída e mantida por provedores de software terceirizados.
Neste caso, os invasores aparentemente injetaram código malicioso nessa camada de interface. Usuários afetados que interagiram com o frontend da Polymarket durante a janela do ataque tiveram as aprovações de suas carteiras redirecionadas. Onze carteiras perderam fundos antes que o comprometimento fosse detectado.
O fato de os contratos inteligentes terem passado por auditorias oferece proteção limitada quando o vetor de ataque está a montante da camada de contrato.
Investigação regulatória aumenta pressão após incidente de segurança
A Polymarket opera sob elevada atenção regulatória desde que a Commodity Futures Trading Commission iniciou uma investigação sobre o acesso de usuários dos EUA à plataforma. A investigação da CFTC, em andamento desde 2026, concentra‑se em saber se os mercados de previsões da Polymarket constituem contratos de commodities não registrados, disponíveis para usuários americanos.
A plataforma ganhou atenção da grande mídia durante o ciclo eleitoral dos EUA em 2024, quando seus mercados passaram a ser amplamente citados na cobertura da imprensa sobre as probabilidades da corrida presidencial. Essa visibilidade trouxe tanto crescimento de usuários quanto escrutínio regulatório. A combinação de uma investigação ativa da CFTC e um incidente de segurança de alto perfil cria uma pressão reputacional ainda maior para os operadores da plataforma.
A segurança em mercados de previsões tem sido uma preocupação recorrente no setor. Ataques ao frontend são particularmente difíceis de evitar porque dependem do comprometimento de fornecedores terceirizados, em vez do protocolo central. Diversas plataformas DeFi sofreram comprometimentos semelhantes, em estilo de cadeia de suprimentos, nos últimos dois anos.
Veja também: Micron se torna a nova obsessão de IA de Wall Street após alta de 236%
O que vem a seguir
A Polymarket não confirmou se os usuários afetados receberão compensação. A plataforma também não divulgou a identidade do fornecedor comprometido, o que limita análises de segurança independentes da cadeia de ataque.
A investigação da CFTC adiciona uma camada de complexidade. Qualquer declaração pública sobre o hack pode se cruzar com procedimentos regulatórios em andamento. A movimentação dos fundos roubados para a Ethereum por meio de uma ponte torna a rastreabilidade possível em princípio, embora recuperações em casos de exploração de fornecedores de frontend sejam raras sem envolvimento das autoridades.
Leia a seguir: HIVE acaba de tomar emprestado US$ 115 milhões a juros zero para apostar contra a mineração de Bitcoin