A Polymarket prometeu reembolsar usuários afetados após um ataque via fornecedor terceirizado drenar cerca de US$ 3,1 milhões em PUSD de 11 carteiras. O caso reforça o risco de ataques de frontend em aplicações cripto, mesmo quando os contratos principais não são diretamente explorados.
A Polymarket voltou ao centro das atenções neste sábado (27) depois que a firma de inteligência blockchain AMLBot atualizou para cerca de US$ 3,1 milhões o valor drenado de usuários da plataforma de mercados preditivos. Segundo o CoinDesk, os fundos foram roubados em PUSD de 11 carteiras e movidos da Polygon para a Ethereum logo após o ataque.
O incidente começou a ser reconhecido publicamente em 25 de junho, quando a própria Polymarket afirmou que um fornecedor terceirizado havia sido comprometido e permitido a injeção de um script malicioso no frontend para parte dos usuários. A empresa disse ter removido a dependência afetada e prometeu reembolsar integralmente os impactados.
O que aconteceu no ataque
Relatos de empresas de segurança e investigadores on-chain apontam para um ataque de supply chain no frontend, não para uma falha direta nos contratos da Polymarket. Na prática, o site teria exibido código malicioso capaz de induzir usuários a assinar transações ou aprovações indevidas ao interagir com a interface.
A Cybernews informou que analistas observaram saques de aproximadamente US$ 3 milhões e que os atacantes teriam convertido parte dos ativos para ETH. A TechCrunch também relatou que a Polymarket confirmou o roubo de fundos de usuários, mas não detalhou qual fornecedor foi afetado nem quantos usuários foram atingidos.
Esse tipo de ataque é especialmente sensível em cripto porque o usuário pode estar conectado a uma carteira autocustodial e aprovar uma transação sem perceber que a interface foi alterada. A camada visual parece legítima, mas a assinatura enviada à carteira pode autorizar uma movimentação diferente da esperada.
Por que isso importa para usuários cripto
O caso reforça uma diferença importante: segurança on-chain não depende apenas de smart contracts auditados. Interfaces web, bibliotecas de terceiros e scripts carregados no navegador também fazem parte da superfície de risco. Como o CriptoBR mostrou na matéria sobre risco em apps cripto e chaves de API, falhas fora do contrato podem virar perdas reais quando o usuário assina operações sem perceber o desvio.
A promessa de reembolso reduz o dano financeiro imediato para os afetados, mas não elimina o impacto reputacional. A Polymarket já vinha sob escrutínio regulatório e de mercado, inclusive em discussões envolvendo a CFTC e plataformas de previsões. Em maio, o CriptoBR noticiou que a CFTC abriu caminho para Polymarket e Kalshi nos EUA, movimento que aumentou a atenção sobre esse tipo de produto.
Para traders, o ponto prático é revisar aprovações antigas, limitar permissões de gasto e desconfiar de prompts inesperados da carteira, principalmente em plataformas que usam tokens colaterais e pontes entre redes. Ataques de frontend costumam explorar justamente a confiança do usuário na interface conhecida.
Mais um alerta para mercados preditivos
A Polymarket cresceu como uma das principais vitrines de mercados preditivos on-chain, com volume relevante em eventos políticos, esportivos e macroeconômicos. Recentemente, o CriptoBR também mostrou como a plataforma registrou um trade de US$ 9 milhões após uma zebra na Copa, sinal de que esse segmento já atrai capital significativo e comportamento especulativo intenso.
Quanto maior o uso, maior o incentivo para ataques. A combinação entre carteiras conectadas, liquidez em stablecoins e operações rápidas entre redes cria um alvo atraente para grupos que preferem explorar a jornada do usuário em vez de quebrar diretamente um protocolo.
O episódio também conversa com uma tendência mais ampla de segurança no setor. Em outra análise recente, o CriptoBR mostrou que a IA elevou o alerta para hacks bilionários em DeFi, com ataques cada vez mais sofisticados e menos dependentes de exploits óbvios em código de contrato.
Até agora, a Polymarket diz que o problema foi contido e que os usuários afetados serão reembolsados. O mercado, porém, deve acompanhar se a plataforma divulgará detalhes técnicos do fornecedor comprometido, o cronograma dos reembolsos e medidas adicionais para impedir novas injeções maliciosas no frontend.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
