Polymarket sofreu ataque hacker, 11 carteiras foram roubadas em 3,1 milhões de dólares, segundo ataque à cadeia de suprimentos em seis meses.

O montante das perdas do ataque à cadeia de fornecimento da Polymarket aumentou para cerca de 3,1 milhões de dólares, totalizando 11 carteiras de utilizadores saqueadas; apesar de a plataforma ter prometido reembolso integral há dias, até à manhã de sábado ainda não havia resposta pública. （Contexto anterior: The New York Times revela que a Meta está a desenvolver a aplicação de mercado de previsões "Arena", Zuckerberg com inveja da Polymarket?） （Contexto adicional: DeFi soa novamente o alarme de segurança! Token of Power foi hackeado em 1,58 milhões de dólares, fundos roubados totalmente para o Tornado Cash）

O mercado de previsões descentralizado Polymarket sofreu um ataque à cadeia de fornecimento esta semana. De acordo com a atualização da empresa de inteligência blockchain AMLBot no sábado no X: um total de 11 carteiras de utilizadores foram saqueadas, com perdas a aumentar para cerca de 3,1 milhões de dólares, os fundos denominados no token nativo da plataforma PUSD, e após o roubo foram imediatamente transferidos através da ponte Polygon para a rede principal Ethereum.

Polymarket Sob Ataque

Os utilizadores da Polymarket foram drenados de ~3,1M USD em PUSD na Polygon através de phishing / execução delegada maliciosa EIP-7702.

Os fundos foram convertidos para USDC.e via Relay, transferidos para Ethereum, trocados para ETH e consolidados em… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 de junho de 2026

Ataque à cadeia de fornecimento: script malicioso a partir do front-end

O evento ocorreu na quinta-feira. A Polymarket emitiu uma declaração oficial no X nesse dia: «Esta manhã descobrimos que um fornecedor terceiro foi invadido, injetando scripts maliciosos no front-end de alguns utilizadores. Já controlámos e removemos a dependência afetada, estamos a contactar os utilizadores afetados e a efetuar reembolsos integrais.» A plataforma enfatizou que o smart contract da Polygon em si não foi afetado; trata-se de um ataque à cadeia de fornecimento direcionado à interface front-end, onde o atacante infiltrou um pacote de dependência externa, não a lógica do contrato.

A vítima Ash relatou no X que a sua carteira foi hackeada sem que soubesse a razão, só depois percebeu que os fundos tinham sido transferidos, e partilhou publicamente o endereço da sua carteira e do atacante, tornando-se um dos primeiros casos públicos de vítima.

Plataforma promete reembolso, mas problemas de segurança não são novos

William LeGate, pessoa relacionada ao cofundador da Polymarket, declarou publicamente que irá reembolsar integralmente, enfatizando que os «utilizadores não perderão nada». No entanto, esta não é a primeira vez que a Polymarket enfrenta riscos de segurança.

O investigador on-chain ZachXBT apontou em março deste ano que dois smart contracts na Polygon, suspeitos de estarem relacionados com a Polymarket, foram desviados de mais de 520 mil dólares. A plataforma respondeu na época que os fundos estavam seguros. Mais cedo, em dezembro do ano passado, após os utilizadores reportarem perdas de fundos e logins suspeitos, a plataforma confirmou um incidente de segurança no Discord, atribuindo-o a um fornecedor de login terceiro desconhecido, com o mesmo modus operandi deste ataque: terceiros invadidos, o front-end da Polymarket a servir como rampa de ataque.

As próximas questões mais focadas pelo mercado serão: se a promessa de reembolso será cumprida, se os 3,1 milhões de dólares do atacante poderão ser recuperados, e se a Polymarket irá divulgar os detalhes técnicos completos da vulnerabilidade do fornecedor terceiro.