Polymarket aprova roubo de fundos de utilizadores, serviço de terceiros de "login com um clique" torna-se uma brecha

Polymarket na véspera do Natal revelou roubo de fundos, a vulnerabilidade originou-se de um serviço de carteira de terceiros, Magic Labs, destacando o risco de ponto único por trás da conveniência do Web3.
(Resumindo: O líder do mercado de previsões Polymarket anunciou a construção de uma L2 própria, a carta de Polygon acabou?)
(Complemento de contexto: Como obter um retorno anual de 40% através de arbitragem na Polymarket?)

O líder de mercado de previsões de Criptomoedas, Polymarket, reportou roubo de fundos, com vários utilizadores a manifestarem raiva às 00h de 24 de dezembro no X e Reddit, dizendo que as suas “contas foram esvaziadas”.

A plataforma imediatamente admitiu uma vulnerabilidade de segurança no Discord oficial, apontando para um “provedor de serviços de terceiros”. A ferramenta de rastreamento na blockchain Lookonchain posteriormente identificou o fornecedor de carteiras Magic Labs, tornando este incidente uma das maiores brechas de segurança no mercado de Criptomoedas até o final de 2025.

A equipa oficial afirmou que a vulnerabilidade foi corrigida, mas ainda há preocupações

Menos de uma hora após a denúncia dos utilizadores, a Polymarket publicou um aviso:

Detectámos uma vulnerabilidade relacionada a um fornecedor de serviços de terceiros, que já foi resolvida. Os utilizadores afetados representam uma minoria, e entraremos em contacto com eles de forma proativa.

O aviso não revelou o valor das perdas nem o número de vítimas, mas gerou maior pânico. Com base no volume de negócios mensal da Polymarket em 2025, estimado em dezenas de bilhões de dólares, mesmo uma “minoria” pode representar perdas elevadas.

Ao contrário de ataques de phishing comuns, no momento do incidente não circulavam links suspeitos, e muitos utilizadores até ativaram a autenticação de dois fatores (2FA). A vulnerabilidade não estava no cliente, mas na autenticação de terceiros no backend.

A vulnerabilidade na autenticação do Magic Labs tornou-se uma brecha

Para reduzir a barreira de entrada, a Polymarket integrou o sistema “Email de uma só clique para gerar uma carteira não custodial” do Magic Labs. Os utilizadores não precisam guardar a frase-semente, apenas enviar o código de verificação para operar ativos na Ethereum. No entanto, os atacantes exploraram uma falha no sistema de autenticação do Magic Labs para obter controlo das carteiras, tornando a 2FA ineficaz.

Atualmente, os fluxos na blockchain mostram que os hackers dividiram os ativos em pouco tempo e usaram múltiplas camadas de mistura de fundos para dificultar a rastreabilidade. Apesar de a equipa oficial afirmar que a vulnerabilidade foi “corrigida”, ainda não responderam ao pedido da comunidade por um relatório completo pós-incidente.

Ao mesmo tempo, a empresa de segurança SlowMist alertou para a presença de bots maliciosos no GitHub, que imitam a Polymarket, destinados a jogadores avançados que usam scripts de negociação personalizados. Esses programas leem ficheiros de configuração locais e secretamente enviam chaves privadas, embora não estejam diretamente relacionados à vulnerabilidade do Magic Labs, ambos ocorreram no mesmo dia.