A plataforma de mercado de previsões Polymarket perdeu US$ 3,1 milhões depois que invasores comprometeram um frontend terceirizado e drenaram fundos de 11 carteiras de usuários.
Os próprios contratos inteligentes auditados da plataforma permaneceram intactos durante todo o incidente.
De acordo com um relatório, os tokens PUSD roubados foram movidos da Polygon (POL) para a Ethereum (ETH) por meio de uma ponte cross-chain. A Polymarket não revelou publicamente o nome do fornecedor comprometido.
Como o ataque funcionou
Ataques ao fornecedor de frontend têm como alvo a interface web que conecta os usuários aos contratos subjacentes da plataforma. Os próprios contratos inteligentes detêm e gerenciam os fundos, mas os usuários interagem por meio de uma camada baseada em navegador, construída e mantida por provedores de software terceirizados.
Neste caso, os invasores parecem ter injetado código malicioso nessa camada de interface. Usuários afetados que interagiram com o frontend da Polymarket durante a janela do ataque tiveram as aprovações de suas carteiras redirecionadas. Onze carteiras perderam fundos antes que o comprometimento fosse detectado.
O fato de os contratos inteligentes terem passado por auditorias oferece proteção limitada quando o vetor de ataque está a montante da camada de contratos.
Investigação regulatória aumenta pressão após incidente de segurança
A Polymarket opera sob atenção regulatória elevada desde que a Commodity Futures Trading Commission iniciou uma investigação sobre o acesso de usuários dos EUA à plataforma. A investigação da CFTC, que vem ocorrendo ao longo de 2026, concentra-se em saber se os mercados de previsões da Polymarket constituem contratos de commodities não registrados disponíveis para usuários americanos.
A plataforma ganhou atenção do grande público durante o ciclo eleitoral dos EUA em 2024, quando seus mercados passaram a ser amplamente citados na cobertura da mídia sobre as probabilidades da corrida presidencial. Essa visibilidade trouxe tanto crescimento de usuários quanto escrutínio regulatório. A combinação de uma investigação ativa da CFTC com um incidente de segurança de alto perfil cria uma pressão reputacional ampliada para os operadores da plataforma.
A segurança em mercados de previsões tem sido uma preocupação recorrente no setor. Ataques ao frontend são particularmente difíceis de prevenir porque dependem de comprometer fornecedores terceirizados, e não o protocolo central. Várias plataformas de DeFi sofreram compromissos semelhantes ao longo da cadeia de suprimentos nos últimos dois anos.
Veja também: Micron se torna a próxima obsessão de IA de Wall Street após alta de 236%
O que vem a seguir
A Polymarket não confirmou se os usuários afetados receberão compensação. A plataforma também não divulgou a identidade do fornecedor comprometido, o que limita revisões de segurança por terceiros sobre a cadeia de ataque.
A investigação da CFTC adiciona uma camada de complexidade. Qualquer declaração pública sobre o ataque pode se sobrepor a processos regulatórios em andamento. A movimentação dos fundos roubados para a Ethereum via uma ponte torna a rastreabilidade possível em princípio, embora recuperações em exploits de fornecedores de frontend sejam raras sem envolvimento das autoridades.
Próxima leitura: HIVE acabou de tomar emprestado US$ 115 milhões a juro zero para apostar contra a mineração de Bitcoin