Polymarket, o maior mercado de previsões em blockchain em volume, sofreu uma perda de aproximadamente US$ 3,1 milhões em fundos de usuários devido a um ataque iniciado em 25 de junho de 2026. O valor da perda foi revisado para cima apenas alguns dias depois de a plataforma prometer publicamente reembolsos completos aos usuários afetados. Os atacantes não violaram os contratos inteligentes responsáveis pela liquidação das apostas; o ataque ocorreu por meio do site, após o comprometimento de um fornecedor terceirizado que fornecia código ao front-end, permitindo a inserção de um script malicioso na página visualizada pelos usuários. Onze carteiras foram drenadas, os saldos desviados foram trocados do token indexado ao dólar da Polymarket para cerca de 1.893 ETH, e os fundos permanecem em endereços sob controle dos atacantes.
O momento do incidente é relevante por ser a segunda falha de segurança em aproximadamente cinco semanas, e a promessa de reembolso coincidiu com a notícia de que o prejuízo era maior do que o inicialmente reportado. Este artigo explica o ocorrido, por que a sequência temporal é importante e o que isso revela sobre riscos de custódia em mercados de previsão e plataformas de DeFi em geral.
O que aconteceu no ataque à Polymarket
O ataque foi um comprometimento da cadeia de suprimentos, não uma exploração de contrato inteligente. Os contratos on-chain da Polymarket funcionaram como projetado. O ponto vulnerável foi a camada web entre o usuário e os contratos. Um fornecedor terceirizado de código front-end foi comprometido, permitindo ao atacante injetar um script malicioso. Quando usuários afetados carregaram o site, o script rodou silenciosamente no navegador e solicitou assinaturas de transações que eles não pretendiam autorizar. As assinaturas pareciam rotineiras, não levantando suspeitas.
O alvo era o pUSD, stablecoin da Polymarket lastreada em USDC. Uma vez com o controle dos saldos drenados, o invasor trocou pUSD por Ethereum, enviou os valores da Polygon para a rede principal do Ethereum e consolidou tudo em uma única carteira. A estimativa inicial era de US$ 2,9 milhões afetados; dias após, o número foi revisado para US$ 3,1 milhões à medida que mais carteiras foram identificadas, causando desconforto, já que a promessa de reembolso foi feita quando o valor ainda era menor.
De modo simples, o "cofre" não foi violado; alguém manipulou o teclado da porta de entrada, de modo que ao acessar normalmente, o usuário autorizava silenciosamente uma retirada para terceiros. Por isso, mesmo um stablecoin na sua carteira pôde ser removido. Os contratos estavam íntegros, mas a interface foi comprometida.
Por que o momento após a promessa de reembolso importa
A Polymarket agiu rapidamente na comunicação. Após confirmar a violação, afirmou ter removido a dependência comprometida, corrigido a vulnerabilidade e reembolsaria integralmente os usuários afetados em pUSD. Essa é a resposta apropriada: reconhecer a perda, corrigir o problema e ressarcir os usuários. O problema foi a sequência: primeiro veio a promessa de reembolso, depois a ampliação do prejuízo de US$ 2,9 milhões para US$ 3,1 milhões, o que torna a garantia prematura.
A confiança em plataformas de negociação depende da diferença entre o prometido e o confirmado. Quando a empresa promete cobrir perdas e, a seguir, essas perdas aumentam, usuários se questionam: o valor final será mesmo US$ 3,1 milhões ou subirá novamente? Essa incerteza prejudica a reputação mais do que o montante financeiro em si.
Outro efeito relevante: a Polymarket se posiciona como local para apostar em resultados reais com dinheiro real, e toda a proposta depende da segurança dos fundos enquanto um evento é resolvido. Um incidente diretamente após uma declaração de confiança mina esse argumento.
Sequência recente de problemas de segurança e regulação na Polymarket
O incidente não foi isolado. Em 22 de maio de 2026, investigadores on-chain identificaram um incidente distinto, noticiado pela CoinDesk, em que cerca de US$ 520 mil a US$ 700 mil foram drenados de carteiras internas usadas para pagamentos de prêmios na Polygon. Esse ataque foi atribuído a uma chave privada ativa há seis anos. Na época, fundos de usuários não foram afetados e o time afirmou que os saldos estavam seguros, mas duas violações em menos de dois meses indicam um padrão. O incidente de maio afetou infraestrutura interna; o de junho, usuários. Superfícies de ataque diferentes, mas a mesma conclusão sobre portas abertas.
Os problemas de segurança também ocorreram sob maior atenção regulatória. A Commodity Futures Trading Commission abriu investigação sobre práticas de marketing da Polymarket, focando numa campanha com criadores pagos promovendo operações e ganhos simulados sem a devida divulgação. Segundo reportagens de junho de 2026, grande parte dos mais de 1.100 vídeos promovia apostas falsas. Senadores John Curtis e Adam Schiff enviaram carta à CFTC solicitando respostas até 10 de julho de 2026.
Resumo da linha do tempo:
| Data | Evento | Quem foi afetado |
|---|---|---|
| 22 de maio 2026 | Carteiras internas drenadas devido a chave privada antiga | Operações internas |
| 20 de junho 2026 | Exposição de vídeos promocionais enganosos | Reputacional, regulatório |
| 25 de junho 2026 | Ataque à cadeia de suprimentos drena carteiras de usuários | Usuários diretamente |
| 26 de junho 2026 | Promessa de reembolso para afetados em pUSD | Usuários afetados |
| Dias depois | Valor da perda revisado para US$ 3,1 milhões | Usuários afetados |
| 10 de julho 2026 | Prazo para resposta da CFTC sobre investigação de marketing | Plataforma, reguladores |
O que os usuários afetados podem esperar
Para as onze carteiras drenadas, a promessa é de reembolso integral em valor de pUSD. A Polymarket afirma que removerá a dependência comprometida. Usuários que não interagiram com o prompt malicioso durante o período não foram afetados, pois o ataque exigia assinatura manual.
A recuperação dos fundos desviados é um processo separado e mais lento. Até o momento, os 1.893 ETH consolidados não foram movidos dos endereços dos atacantes, permitindo rastreamento e possíveis ações de compliance por exchanges. A possibilidade de congelamento ou devolução depende dos próximos passos dos atacantes.
Para os demais, a lição prática é comportamental: trate toda solicitação de assinatura como uma decisão deliberada, não uma formalidade. Leia atentamente o que sua carteira está pedindo para aprovar. Os usuários afetados não foram descuidados; o problema estava na interface.
Lições de segurança e custódia para mercados de previsão e DeFi
A verdade desconfortável deste ataque é que os contratos inteligentes estavam íntegros. Muitos debates de segurança em cripto focam em auditorias de contrato, mas perdas reais vêm cada vez mais das camadas ao redor dos contratos. O caso Polymarket ilustra esse padrão, semelhante ao documentado em recentes drenos DeFi e explorações de bridges: a falha ocorre entre os sistemas.
Alguns princípios fundamentais:
- Risco de front-end é risco real de custódia. Contrato auditado não protege se o site de interface for manipulado. A assinatura aprovada é o que move fundos.
- Dependências terceirizadas são superfície de ataque. Um fornecedor desconhecido pode ser a porta de entrada. Comprometimentos na cadeia atingem o elo mais fraco.
- Custódia quente é conveniência trocada por exposição. Fundos em carteiras que interagem com aplicativos ao vivo dependem da segurança desses apps.
- Cuidado com assinaturas é a última linha de defesa do usuário. Verifique endereço do contrato, token e quantia.
- Promessas de reembolso não equivalem à recuperação dos fundos. O ressarcimento cobre a perda, mas não reverte o incidente nem garante novos dados no futuro.
Essas lições se aplicam a toda plataforma onde usuários conectam carteiras e assinam via web. O meio da aposta não altera a mecânica do risco.
Perguntas frequentes
A Polymarket é segura?
Os contratos inteligentes da Polymarket não foram explorados neste incidente, mas a plataforma sofreu duas falhas em cinco semanas, uma interna e outra envolvendo usuários. Dependências comprometidas foram corrigidas e houve promessa de reembolso, mas a sequência reforça a importância de avaliar cuidadosamente os saldos e cada solicitação de assinatura.
O que aconteceu com a Polymarket?
Em 25 de junho de 2026, atacantes comprometeram um fornecedor terceirizado de código front-end e inseriram um script malicioso no site da Polymarket, drenando cerca de US$ 3,1 milhões em pUSD de onze carteiras. Os fundos foram convertidos em cerca de 1.893 ETH e permanecem sob rastreamento.
A Polymarket irá reembolsar os usuários?
A Polymarket se comprometeu publicamente a reembolsar totalmente os titulares de pUSD afetados e afirmou ter removido a dependência comprometida. A recuperação dos fundos on-chain depende de ações futuras dos atacantes e possíveis intervenções.
Como o ataque ocorreu se os contratos não foram explorados?
O ataque ocorreu na camada do site, não na blockchain. Um fornecedor comprometido permitiu a inserção de um script que solicitou assinaturas para autorizar a drenagem, por isso fundos saíram mesmo com os contratos funcionando normalmente. Saiba mais sobre mercados de previsão.
Conclusão
O incidente com a Polymarket foi uma falha de front-end e cadeia de suprimentos, causando perdas de cerca de US$ 3,1 milhões. O aspecto mais prejudicial foi a sequência dos fatos: promessa de reembolso seguida de revisão para cima da perda, além de um incidente anterior e investigação regulatória em andamento. O aprendizado se estende para além desta plataforma: em qualquer local onde se assine com carteira, o risco maior está na interface e dependências, não apenas no contrato. O usuário só controla de fato o que aprova. Em caso de dúvida, mantenha parte reduzida dos ativos em apps web e aprenda como funciona a autocustódia com ativos como Bitcoin.
Este artigo é apenas informativo e não constitui aconselhamento financeiro ou de investimento. Negociar criptomoedas envolve riscos. Sempre realize sua própria pesquisa antes de tomar decisões.
