O investigador on-chain ZachXBT identificou, em 22 de maio, um possível comprometimento de chave privada que drenou cerca de US$600.000 de um endereço vinculado à Polymarket na Polygon. O invasor retirava aproximadamente 5.000 POL a cada 20-30 segundos antes que as chaves fossem rotacionadas. Josh Stevens, VP de engenharia da Polymarket, confirmou depois que a origem era uma chave privada de seis anos relacionada a uma carteira interna de abastecimento, não aos contratos inteligentes da plataforma nem a saldos de clientes. Essa distinção é importante porque o método do ataque define quem será o próximo alvo: atualmente, o modelo de ameaça está mais voltado para usuários individuais do que para equipes de protocolo.
Este não foi um ataque ao protocolo Polymarket, mas sim um comprometimento de chave em nível de conta, refletindo exatamente como qualquer usuário de autocustódia na Polygon mantém seus fundos. Por isso, o incidente merece atenção detalhada.
O que ZachXBT sinalizou e o que a análise on-chain revela
O primeiro alerta público de ZachXBT em 22 de maio apontou para o contrato UMA CTF Adapter na Polygon, utilizado pela Polymarket com a oráculo otimista da UMA para liquidação de mercados. As primeiras reportagens estimaram a perda em cerca de US$520.000 em POL e USDC.e, mas, em poucas horas, o valor ultrapassou US$600.000 à medida que retiradas automatizadas esvaziavam o endereço em ciclos de 20 a 30 segundos.
O padrão mecânico é o principal indício. Atacantes humanos não movimentam fundos em lotes idênticos a cada 20 segundos por horas. Scripts sim. Uma drenagem automatizada nesse ritmo indica que o invasor já possuía autorização de assinatura, simplesmente varrendo saldos assim que chegavam — marca típica de vazamento de chave privada, e não de bug lógico no contrato.
A equipe de engenharia da Polymarket, horas após o alerta inicial, afirmou que os contratos não foram afetados e que o incidente limitou-se a uma carteira operacional usada para abastecimento de saldo. Reportagem da CoinDesk confirmou que fundos de usuários não foram impactados. A CryptoSlate acrescentou que a chave vazada tinha aproximadamente seis anos, anterior à maior parte da arquitetura de segurança atual da Polymarket.
ZachXBT é um investigador independente on-chain, sem vínculos com órgãos de segurança nem com a Polymarket. Seu papel é analisar padrões de transação em tempo real e indicar atividades suspeitas antes que a plataforma afetada se manifeste oficialmente. Essa agilidade é o diferencial. Por isso, casos como este permanecem classificados como "suspeitos" até que a plataforma confirme formalmente a causa, como a Polymarket fez cerca de cinco horas após o alerta inicial.
Como funciona a custódia de contas na Polymarket
Muitos enxergam a Polymarket como um mercado de previsões centralizado com contas estilo exchange. Na prática, ela funciona mais como uma DEX on-chain com interface simplificada.
Cada usuário da Polymarket possui uma conta de autocustódia (EOA) na Polygon, tal como ocorre com carteiras MetaMask. Depósitos transferem USDC.e de um endereço Ethereum ou Polygon para esse EOA. As apostas são transações assinadas para o contrato UMA CTF Adapter. Saques também são transações assinadas de saída. O frontend da Polymarket abstrai o fluxo de assinaturas por meio de carteiras embutidas, mas a conta subjacente — e a chave privada — pertencem ao usuário.
Por isso, o incidente de 22 de maio é estruturalmente similar a milhares de drenagens menores de contas que ocorrem mensalmente na Polygon. A carteira interna de abastecimento da Polymarket era uma EOA detentora de POL e USDC.e operacionais. Uma vez vazada a chave privada, o invasor detinha o mesmo nível de permissão que a própria Polymarket sobre aquele endereço. Nenhum bug em contrato foi necessário, pois o contrato apenas cumpriu o que foi projetado para fazer: aceitar transações assinadas pelo endereço detentor dos fundos.
Isso é relevante para usuários porque grandes posições da Polymarket ficam no mesmo tipo de conta, assinada pelo mesmo tipo de chave. Se uma chave operacional de seis anos de dentro da organização pode vazar, todas as suposições sobre sua própria higiene de chaves devem ser reavaliadas considerando o mesmo modelo de ameaça.
Implicações para usuários de alto valor na Polymarket
As maiores contas da Polymarket são públicas. Endereços com posições de sete ou oito dígitos nas apostas das eleições dos EUA de 2024 foram divulgados durante períodos de alto volume, e muitos ainda mantêm saldos significativos. Qualquer pessoa com ferramentas básicas de análise on-chain pode montar uma lista de EOAs de alto valor em menos de uma hora — o mesmo vale para atacantes.
O padrão de ataques entre 2025 e 2026 permaneceu consistente: kits de phishing imitam o e-mail e interface da Polymarket, extensões maliciosas de navegador interceptam solicitações de assinatura e ataques baseados em vazamento de credenciais do e-mail atrelado à carteira embutida fazem novas vítimas semana após semana. A drenagem costuma ser realizada em uma única transação, uma assinatura — antes mesmo do usuário perceber.
| Tipo de conta | Modelo de custódia | Ameaça realista |
|---|---|---|
| Posição na Polymarket via carteira embutida | EOA de autocustódia, chave gerenciada pelo app | Phishing, extensão maliciosa, comprometimento do dispositivo |
| Posição na Polymarket via carteira externa (MetaMask) | EOA de autocustódia, chave gerenciada pelo usuário | Vazamento da seed phrase, abuso de aprovações de assinatura, prompts falsos de dApps |
| Carteira operacional interna da Polymarket | EOA gerenciada pela organização | Chave antiga, acesso interno, vazamento de infraestrutura (caso de 22 de maio) |
O ponto crucial: quem obtém sua chave privada da Polygon acessa sua posição na Polymarket, saldo USDC.e e quaisquer outros tokens desse endereço. Não existe suporte Polymarket que reverta transações assinadas, nem equivalente ao FDIC na Polygon. Os contratos da plataforma funcionaram conforme esperado no incidente de 22 de maio — e isso significa que a plataforma também não pode agir contra um invasor que utilize assinaturas legítimas do seu endereço.
O que revisar na sua conta Polymarket agora
Três verificações importantes podem ser feitas nos próximos minutos, independente do tamanho da posição:
Confirme se o e-mail vinculado à sua carteira embutida possui credenciais únicas e 2FA ativado. O uso de senha repetida de vazamentos antigos segue como principal ponto de falha em EOAs da Polygon. Revise o checklist completo de segurança no artigo de segurança antes de seguir.
Revise as permissões de tokens no seu endereço Polymarket. Acesse um explorador Polygon e confira a lista de aprovações para contratos que não reconhece, revogando o que não identificar. Antigas permissões de dApps esquecidas permanecem como superfície de ataque latente em muitas carteiras.
Transfira qualquer posição relevante para um fluxo de assinatura com carteira hardware. A Polymarket pode ser usada com carteira externa, e a fricção é real. Por outro lado, uma carteira de hardware exige confirmação física por assinatura, neutralizando o tipo de comprometimento remoto que afetou a carteira interna da Polymarket.
Para saldos superiores a alguns milhares de dólares, trate a carteira embutida como quente e transite grandes valores via carteira hardware. Essa separação é amplamente recomendada em guias de autocustódia para spot e DeFi, e não há razão para aplicar padrão inferior a posições em mercados de previsão.
Perguntas frequentes
O incidente de 22 de maio na Polymarket foi um ataque a contrato inteligente?
Não, e essa distinção é fundamental. Polymarket e ZachXBT confirmaram que o contrato UMA CTF Adapter operou conforme projetado e que o problema foi um vazamento de chave privada de uma carteira operacional, não falha no contrato ou na oráculo.
Fundos dos usuários da Polymarket estão em risco atualmente?
Fundos de usuários em contas pessoais Polymarket não foram afetados. A carteira comprometida era interna da Polymarket. Cada EOA de usuário é protegido de modo independente — e a responsabilidade é igualmente individual.
Como invasores costumam acessar fundos de contas Polymarket?
Os principais vetores são páginas de phishing que imitam o login da Polymarket, extensões de navegador maliciosas que sequestram prompts de assinatura e vazamentos de seed phrase via screenshots, nuvem ou gerenciadores de senha. Explorações diretas de contrato são raras, pois os contratos não possuem permissões específicas por usuário.
A perda de US$600.000 é definitiva?
A Polymarket rotacionou as chaves comprometidas em poucas horas e a drenagem cessou. Recuperação dos ativos dependerá de ações legais contra o detentor da carteira, e ativos on-chain enviados para endereços de autocustódia não são recuperáveis pela plataforma.
Conclusão
O incidente da Polymarket é um lembrete de que o elo mais fraco em qualquer posição na Polygon é a chave privada, não o protocolo. ZachXBT identificou a drenagem de US$600.000 de uma carteira interna, a Polymarket confirmou se tratar de uma chave operacional antiga, e o invasor agiu dentro das regras do contrato. O mesmo modelo de ameaça se aplica a todas as contas de usuário. As próximas 24 horas são ideais para revogar permissões desconhecidas, atualizar credenciais e migrar saldos significativos para carteira hardware. A plataforma agiu rapidamente na rotação da chave comprometida — o restante do cuidado depende do usuário.
Este artigo é para fins informativos e não constitui recomendação financeira ou de investimento. Negociar criptomoedas envolve riscos consideráveis. Sempre realize sua própria pesquisa antes de tomar decisões de negociação.
