Polymarket confirma exploração de uma vulnerabilidade de verificação por terceiros, com o roubo de fundos de utilizadores a suscitar preocupações quanto aos riscos envolvidos

Imagem: https://x.com/TheBlock__/status/2003739551865475076

Polymarket confirma ataque por vulnerabilidade em autenticação de terceiros, fundos de utilizadores roubados

No final de dezembro de 2025, a Polymarket, plataforma de mercados de previsão em criptoativos, confirmou oficialmente um incidente de segurança causado por um serviço externo de autenticação de identidade, que resultou no roubo de ativos de alguns utilizadores. A plataforma sublinhou que a violação não decorreu de falhas no protocolo central da Polymarket nem nos seus smart contracts. Os atacantes exploraram vulnerabilidades num serviço de autenticação de terceiros ligado à plataforma, assumindo o controlo das contas afetadas e transferindo os fundos.

Contexto e declaração oficial

Segundo o comunicado oficial da Polymarket, a violação de segurança ocorreu durante o login dos utilizadores e afetou sobretudo contas registadas ou acedidas através de serviços de autenticação de terceiros, como o login por e-mail com um clique. Vários utilizadores reportaram que, mesmo com autenticação de dois fatores (2FA) ativa, os seus saldos foram esvaziados em minutos.

A Polymarket confirmou posteriormente que a vulnerabilidade foi corrigida e garantiu que não há indícios de risco de ataques em curso. A plataforma clarificou que os seus mecanismos centrais de mercado, smart contracts e sistemas de liquidação não foram afetados; o incidente resultou de uma falha de segurança no processo externo de verificação de identidade.

Método de ataque e possível mecanismo de vulnerabilidade

De acordo com análises do setor e informações públicas, não se tratou de um ataque de phishing nem de divulgação de chaves privadas por parte dos utilizadores. Os atacantes terão explorado fragilidades no processo de autenticação de terceiros, contornando a verificação padrão de login para obter controlo da carteira associada às contas dos utilizadores, mesmo sem que estes clicassem em links maliciosos ou divulgassem credenciais de e-mail.

Após obterem controlo, os atacantes transferiram rapidamente os ativos para endereços externos, recorrendo à divisão de transações e à ofuscação em cadeia para ocultar os fluxos de fundos e causar perdas efetivas.

A Polymarket ainda não revelou detalhes técnicos sobre a vulnerabilidade nem sobre o fornecedor externo envolvido. No entanto, existe consenso no setor de que soluções de autenticação que delegam a gestão de chaves ou autorização de contas a terceiros podem introduzir riscos sistémicos se esses componentes forem comprometidos.

Feedback dos utilizadores e resposta da comunidade

Após o incidente se tornar público, os utilizadores partilharam as suas experiências em plataformas comunitárias e redes sociais. Um utilizador relatou ter voltado a iniciar sessão na Polymarket após receber um alerta de login anómalo, apenas para encontrar o saldo praticamente esgotado. Outro utilizador afirmou que não realizou nenhuma ação de risco, apenas utilizou login por e-mail com 2FA ativo, mas os seus ativos foram transferidos em pouco tempo.

Estes casos geraram rapidamente debate na comunidade. Muitos utilizadores começaram a reavaliar o equilíbrio entre “login conveniente” e “segurança dos ativos” nas plataformas Web3. Alguns consideraram que o incidente demonstra como a otimização da experiência do utilizador em aplicações descentralizadas pode inadvertidamente expor vulnerabilidades nas fronteiras de segurança.

Resposta da Polymarket e estado atual

Após confirmar a violação, a Polymarket informou que corrigiu de imediato a vulnerabilidade e contactou proativamente os utilizadores afetados. A plataforma realçou que não foram observadas novas atividades suspeitas e que o sistema permanece seguro.

O comunicado oficial também confirmou que os smart contracts centrais e a lógica de mercado não foram afetados. Por isso, os utilizadores que usam carteiras de autocustódia ou que fazem login sem autenticação de terceiros não foram expostos a este vetor de ataque.

Até ao momento, a Polymarket não revelou o número exato de utilizadores afetados nem a dimensão total das perdas financeiras.

Perspetiva do setor: Porque a autenticação de terceiros é um fator de alto risco

Numa perspetiva mais ampla do setor, este evento evidencia os riscos estruturais que as plataformas Web3 enfrentam ao depender de serviços de autenticação de identidade de terceiros. Logins por e-mail e autorizações de contas sociais facilitam o acesso, mas expõem novas superfícies de ataque.

No Web2, sistemas como OAuth e login social enfrentam há muito desafios de segurança. No Web3, estes processos de autenticação estão frequentemente ligados diretamente à criação de carteiras, gestão de chaves ou autorização de transações. Qualquer vulnerabilidade pode resultar em perdas diretas de ativos, não apenas em fugas de dados.

Lições de segurança e recomendações de proteção para utilizadores

O incidente da Polymarket oferece várias lições essenciais de segurança para titulares de criptoativos:

• Utilize serviços de autenticação de terceiros com cautela. Dê prioridade a carteiras de autocustódia e soluções independentes de gestão de chaves.
• Implemente proteção multicamada, como carteiras físicas e autenticadores independentes.
• Em plataformas de uso pouco frequente, transfira rapidamente os ativos para endereços sob controlo pessoal.
• Acompanhe as atualizações oficiais dos projetos, alertas de segurança e feedback da comunidade para reagir rapidamente a potenciais riscos.

Conclusão

Em resumo, o incidente de segurança da Polymarket não comprometeu a segurança do seu protocolo central, mas expôs claramente os riscos sistémicos potenciais da autenticação de identidade de terceiros no ecossistema Web3. À medida que a indústria cripto procura aumentar a base de utilizadores e melhorar a experiência, encontrar o equilíbrio certo entre usabilidade e segurança dos ativos continuará a ser um desafio constante para todas as plataformas.