Diversos relatos de carteiras sob ataque surgem entre os usuários do aplicativo Polymarket, que denunciam o desaparecimento de seus fundos após fazerem login através do Google.
Investigações em curso revelam vulnerabilidades nos métodos de autenticação recentes e ataques phishing. Vejamos a seguir todos os detalhes.
Summary
Os usuários Polymarket sob ataques denunciam o esvaziamento das carteiras após o acesso via Google
Nos últimos meses, vários utilizadores do Polymarket, uma plataforma popular para previsões de mercado, relataram um cenário preocupante: as suas carteiras foram misteriosamente esvaziadas após terem efetuado o login através do Google.
Enquanto aqueles que utilizam carteiras Web3 padrão, como MetaMask ou Trustwallet, não foram envolvidos, os usuários que confiam nos métodos mais recentes de acesso via OAuth ou Email OTP parecem ser as principais vítimas.
Este problema levou muitos a questionar a segurança desses novos métodos de autenticação e as possíveis falhas no sistema.
Um dos primeiros usuários a relatar o problema foi HHeego, um membro da comunidade Discord de Polymarket. Segundo o que foi declarado, no dia 5 de agosto ele depositou cerca de $1.085,80 em USD Coin (USDC) na sua conta Polymarket através da Binance.
No entanto, depois de esperar horas sem ver o depósito, ele se juntou ao servidor Discord da Polymarket para procurar assistência. Aqui ele descobriu que outros usuários estavam enfrentando problemas semelhantes.
Tranquilizado pelo fato de que provavelmente se tratava de um simples erro de interface do usuário, HHeego parou de se preocupar. Pouco depois, o depósito finalmente apareceu em sua carteira.
No entanto, com a mesma rapidez com que apareceu, o saldo total de $1.188,72 USDC desapareceu, incluindo os $102,92 que já estavam na sua conta antes do depósito.
HHeego inspeccionou imediatamente o histórico de transações através do explorador de blocos Polygonscan, onde descobriu que o seu saldo tinha sido transferido para uma conta denominada “Fake_Phishing399064”.
Este evento marcou o início de um pesadelo.
Apesar da retirada dos fundos, as operações abertas de HHeego, no valor total de $2.000, permaneceram intactas.
Este estranho detalhe alimentou ainda mais o mistério por trás do ataque, fazendo supor que não se tratava de uma simples vulnerabilidade, mas de algo mais direcionado e específico.
O segundo ataque e a intervenção do atendimento ao cliente
Inicialmente acreditando que o esgotamento do seu portfólio fosse apenas um erro
temporário, HHeego decidiu depositar uma quantia adicional de $4.111,31 em 11 de agosto.
Mas, como aconteceu anteriormente, os fundos foram imediatamente retirados da mesma conta de phishing, levando suas perdas totais a bem $5.197,11. Neste ponto, HHeego percebeu que sua conta havia sido comprometida.
Em seguida, decidiu fechar todas as suas operações, que totalizavam cerca de $1.000, e retirou os fundos restantes na sua conta Binance. Surpreendentemente, o hacker não tocou nesses fundos, e o saque foi bem-sucedido.
Isso reforçou ainda mais sua convicção de que o ataque estava limitado aos valores depositados e não envolvia os lucros das operações já abertas.
Quando HHeego contactou novamente o suporte ao cliente da Polymarket, foi-lhe dito que a sua conta tinha sido provavelmente comprometida e que não deveria mais utilizá-la.
O agente prometeu-lhe que a equipa estava a trabalhar para compreender melhor o que tinha acontecido e que forneceriam mais detalhes em breve. No entanto, após uma última mensagem recebida a 15 de agosto, não teve mais atualizações da equipa.
A segunda vítima: Cryptomaniac
Outro usuário, conhecido como “Cryptomaniac” no Discord, passou por uma situação semelhante. Após depositar $745 no dia 9 de agosto, os fundos foram retirados de sua conta e enviados para a mesma conta de phishing envolvida no caso de HHeego.
Apesar das primeiras tentativas de assistência por parte da equipe da Polymarket, no final Cryptomaniac parou de receber respostas.
Depois de semanas de tentativas infrutíferas de resolver o problema, relatou que a equipe de atendimento ao cliente havia cessado toda comunicação.
Cryptomaniac também mostrou uma captura de tela de uma das declarações recebidas do serviço de atendimento ao cliente, na qual o agente afirmava que o ataque já havia sido observado em outras cinco ocasiões, sugerindo a existência de pelo menos três outras vítimas.
Além disso, surgiu que o agressor tinha utilizado a autenticação através de OTP email para aceder às contas das vítimas. Fator que implica uma violação mais complexa do que o simples phishing.
Vulnerabilidade nos acessos via Google nos ataques aos wallet Polymarket
As investigações se concentraram nas modalidades de acesso utilizadas pelas vítimas.
Ao contrário dos usuários que utilizam carteiras Web3 como MetaMask ou Trustwallet, que não foram afetados, tanto HHeego quanto Cryptomaniac usaram o acesso via Google para gerenciar suas contas.
Polymarket, de fato, utiliza o kit de desenvolvimento Magic SDK para permitir que os usuários acessem sem senha ou seed, facilitando o login através do Google ou email OTP.
No entanto, este sistema parece ter apresentado uma vulnerabilidade ainda não esclarecida. A qual permitiu aos agressores subtrair os fundos das vítimas sem comprometer suas contas do Google.
De acordo com os documentos da Magic Labs, o sistema gera uma “chiave master utente” que é armazenada em um módulo de segurança de hardware da Amazon Web Services (AWS).
Esta chave pode ser utilizada para descriptografar uma segunda chave criptografada armazenada no dispositivo do usuário, permitindo iniciar transações no Polymarket.
No entanto, ambas as vítimas declararam nunca terem encontrado acessos não autorizados às suas contas do Google, o que torna ainda mais complexa a compreensão do ataque.