Polymarket sofreu ataque, 11 carteiras foram saqueadas em 3,1 milhões de dólares, segundo ataque à cadeia de suprimentos em seis meses.

Polymarket: perdas no ataque à cadeia de suprimentos sobem para ~US$ 3,1 milhões, 11 carteiras de usuários saqueadas; apesar de a plataforma ter prometido reembolso total há dias, não respondeu publicamente até sábado de manhã.
(Recapitulação: NYT revela que Meta está desenvolvendo app de previsão "Arena", Zuckerberg com inveja da Polymarket?)
(Contexto: DeFi soa alarme de segurança novamente! Token of Power hackeado em US$ 1,58 milhão, fundos fluem para Tornado Cash)

O mercado de previsão descentralizado Polymarket sofreu um ataque à cadeia de suprimentos esta semana. De acordo com a empresa de inteligência blockchain AMLBot, atualizado no sábado no X: um total de 11 carteiras de usuários foram saqueadas, com perdas subindo para aproximadamente US$ 3,1 milhões, denominadas no token nativo da plataforma, PUSD, que foram imediatamente transferidas via Polygon Bridge para a mainnet Ethereum após o roubo.

Polymarket Under Attack

Usuários da Polymarket tiveram ~US$ 3,1 milhões em PUSD drenados na Polygon via phishing / execução delegada maliciosa EIP-7702.

Os fundos foram convertidos em USDC.e via Relay, bridge para Ethereum, trocados por ETH e consolidados em… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 de junho de 2026

Ataque à cadeia de suprimentos: script malicioso partiu do frontend

O incidente ocorreu na quinta-feira. A Polymarket declarou oficialmente no X naquele dia: "Esta manhã, descobrimos que um fornecedor terceirizado foi invadido, injetando scripts maliciosos no frontend de alguns usuários. Já controlamos e removemos a dependência afetada, e estamos entrando em contato com os usuários afetados para reembolso total." A plataforma enfatizou que o contrato inteligente da Polygon em si não foi comprometido; foi um ataque à cadeia de suprimentos direcionado à interface do frontend, com o invasor infiltrando-se em pacotes externos de dependência, não na lógica do contrato.

A vítima Ash relatou no X que, quando sua carteira foi hackeada, não sabia o motivo, só percebendo depois que os fundos haviam sido transferidos, e compartilhou publicamente o endereço de sua carteira e do invasor, tornando-se um dos primeiros casos públicos conhecidos.

Plataforma promete reembolso, mas problema de segurança não é o primeiro

William LeGate, pessoa relacionada ao cofundador da Polymarket, declarou publicamente que fará o reembolso total, enfatizando que os "clientes não perderão nada". No entanto, esta não é a primeira vez que a Polymarket enfrenta riscos de segurança.

O investigador on-chain ZachXBT apontou em março deste ano que dois contratos inteligentes suspeitos relacionados à Polymarket na Polygon tiveram mais de US$ 520 mil desviados; na época, a plataforma respondeu que os fundos estavam seguros. Mais cedo, em dezembro do ano passado, após usuários relatarem perda de fundos e logins suspeitos, a plataforma confirmou um incidente de segurança no Discord, atribuindo-o a um fornecedor de login terceirizado desconhecido, com o mesmo padrão do ataque atual: um terceiro invadido, e o frontend da Polymarket usado como trampolim.

A partir de agora, se a promessa de reembolso será cumprida, se os US$ 3,1 milhões do atacante poderão ser recuperados, e se a Polymarket divulgará todos os detalhes técnicos da vulnerabilidade do fornecedor terceirizado – essas três questões serão o foco principal do mercado.