Um ataque de phishing no frontend da Polymarket expôs uma das vulnerabilidades mais persistentes nas finanças descentralizadas: a cadeia de suprimentos. Quando os atacantes não precisam quebrar os smart contracts de um protocolo para drenar milhões, eles só precisam comprometer um fornecedor terceirizado que fica discretamente em segundo plano no código de uma plataforma popular.
Summary
Principais pontos
- Um fornecedor terceirizado comprometido injetou código malicioso no frontend da Polymarket, permitindo um ataque de phishing que roubou aproximadamente US$ 2,94 milhões de pelo menos 11 carteiras de usuários.
- A Polymarket removeu a dependência maliciosa, conteve a violação e se comprometeu a reembolsar totalmente todos os usuários afetados.
- O analista de blockchain Specter confirmou que o PUSD roubado foi trocado por ETH e consolidado em um único endereço.
- A DefiLlama registrou o incidente como a 89ª violação de segurança cripto no 2º trimestre de 2026, a maior contagem trimestral de incidentes em seus registros.
- Junho de 2026 registrou US$ 74,9 milhões em perdas em 29 exploits, de acordo com a DefiLlama.
Detalhes do ataque de phishing no frontend da Polymarket
O ataque de phishing à Polymarket não explorou uma falha nos smart contracts da plataforma ou em sua infraestrutura central. Em vez disso, os atacantes entraram pela porta lateral — um fornecedor terceirizado cujo acesso comprometido lhes deu uma forma de injetar um script malicioso diretamente na interface de frontend da Polymarket.
Essa distinção é importante. Usuários interagindo com o que parecia ser a interface normal da Polymarket foram expostos, sem saber, a um código projetado para roubar fundos de suas carteiras conectadas. O vetor de ataque foi silencioso, invisível e eficaz.
Injeção de código malicioso via fornecedor terceirizado
A Polymarket divulgou o incidente no X, confirmando que um fornecedor terceirizado havia sido comprometido e usado para enviar um script malicioso para o frontend da plataforma para alguns usuários. A plataforma descreveu a sequência de forma simples: descobrir, conter, remover, reembolsar.
“Esta manhã descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso frontend para alguns usuários. Contivemos o problema e removemos a dependência afetada. Estamos entrando em contato com os usuários impactados e reembolsando-os integralmente”, publicou a Polymarket Traders em 25 de junho de 2026.
O analista de blockchain Specter classificou o incidente como uma campanha de phishing, e não como um exploit direto do protocolo. O script injetado esperava que os usuários interagissem com a interface comprometida e então era ativado para desviar fundos das carteiras conectadas.
Impacto do ataque e carteiras afetadas
Specter estimou as perdas em aproximadamente US$ 2,94 milhões drenados de pelo menos 11 carteiras vítimas. Os ativos roubados, mantidos em PUSD, foram trocados por ETH e canalizados para um único endereço consolidado — um padrão consistente com tentativas rápidas de lavagem após um roubo em DeFi.
A escala da perda ressalta o quão eficazes podem ser os ataques em nível de frontend. Mesmo com relativamente poucas carteiras comprometidas, o impacto em dólares chegou a quase três milhões, refletindo o tamanho das posições que alguns usuários mantinham na plataforma de mercados de previsão.
Resposta da plataforma e restituição aos usuários
A Polymarket agiu rapidamente assim que a violação foi identificada. A dependência maliciosa foi removida, o incidente foi contido e a plataforma se comprometeu a tornar todos os usuários afetados totalmente ressarcidos.
Contenção do incidente e remoção da dependência maliciosa
A resposta seguiu uma sequência clara e transparente: isolar o componente comprometido, removê-lo da plataforma e comunicar publicamente. A Polymarket confirmou que estava ativamente entrando em contato diretamente com os usuários impactados, em vez de esperar que os usuários se identificassem.
Essa abordagem — contato proativo combinado com um compromisso de reembolso total — reflete como as plataformas DeFi entendem cada vez mais que a confiança do usuário, uma vez fraturada, é muito mais difícil de reconstruir do que o valor em dólares perdido.
Compromisso de reembolso total para usuários afetados
A promessa de reembolso total para todos os usuários afetados é significativa. Embora o cronograma exato e o mecanismo de distribuição desses reembolsos não tenham sido especificados, o compromisso público coloca a reputação da Polymarket diretamente em jogo. Para uma plataforma de mercados de previsão que depende da participação dos usuários e de liquidez, essa responsabilidade é tanto financeira quanto estratégica.
Contextualizando a violação dentro da segurança em criptomoedas
O incidente da Polymarket não ocorreu de forma isolada. Ele aconteceu em um trimestre que já estabeleceu recordes indesejados de falhas de segurança em cripto.
DefiLlama relata recorde de violações de segurança cripto no 2º trimestre de 2026
A DefiLlama registrou a violação da Polymarket como o 89º incidente de segurança cripto do 2º trimestre de 2026 — tornando-o a maior contagem trimestral de incidentes que a plataforma de análise já acompanhou. Esse número por si só sinaliza um problema sistêmico. Mais ataques, com mais frequência, em uma gama mais ampla de plataformas e vetores.
Comprometimentos de chaves privadas responderam por 43% das perdas por exploits nos últimos 30 dias, segundo a DefiLlama. Exploits de provas falsas representaram 10% das perdas, e honeypots de MEV reverso responderam por 8%. O ataque à Polymarket, enraizado em um comprometimento da cadeia de suprimentos no frontend em vez de uma chave privada ou falha de protocolo, ilustra que os atacantes estão diversificando seus métodos à medida que as defesas em torno dos vetores tradicionais melhoram.
Visão geral dos exploits e perdas em junho de 2026
A DefiLlama reportou US$ 74,9 milhões em perdas decorrentes de 29 exploits cripto apenas em junho de 2026. Esse valor superou os US$ 60,5 milhões de maio, mas permaneceu muito abaixo dos US$ 644 milhões de abril — um mês que incluiu alguns dos maiores roubos individuais em DeFi do ano.
O maior incidente único de junho foi um exploit de US$ 36 milhões direcionado ao Humanity Protocol. Outros ataques notáveis incluíram um exploit de US$ 4,7 milhões na ponte da Secret Network, dois exploits separados de US$ 2,1 milhões afetando a Aztec e um exploit de ponte de US$ 1,7 milhão na Taiko. Nesse contexto, a perda de US$ 2,94 milhões da Polymarket fica na faixa intermediária dos incidentes de junho em valor em dólares — mas seu método e contexto a tornam particularmente instrutiva.
Incidente de segurança anterior na Polymarket
O ataque ao frontend em junho não foi a primeira manchete de segurança da Polymarket neste trimestre. Cerca de um mês antes, a plataforma divulgou uma violação separada envolvendo uma vulnerabilidade bem mais antiga.
Chave privada de seis anos comprometida resultando em perda de US$ 600.000
Os atacantes exploraram uma chave privada de seis anos vinculada a uma carteira interna de operações de recarga, levando aproximadamente US$ 600.000. Pesquisadores de segurança ZachXBT, PeckShield e Bubblemaps inicialmente sinalizaram atividade suspeita envolvendo o contrato UMA CTF Adapter da Polymarket na Polygon. A Bubblemaps observou que os atacantes retiravam 5.000 POL a cada 30 segundos antes que as perdas totais fossem estimadas em cerca de US$ 600.000.
Esclarecimento sobre a causa raiz do incidente e segurança da plataforma
O colaborador do protocolo Polymarket, Shantikiran Chanal, posteriormente esclareceu que o incidente anterior se originou de uma carteira comprometida usada exclusivamente para operações internas, e não de qualquer falha nos contratos da plataforma ou em sua infraestrutura central. O vice-presidente de engenharia, Josh Stevens, confirmou que os fundos dos usuários e os smart contracts permaneceram seguros durante todo o período e que todas as permissões vinculadas à chave comprometida haviam sido revogadas.
Dois incidentes separados, com um mês de diferença, usando vetores de ataque totalmente diferentes — uma chave privada esquecida e um fornecedor de cadeia de suprimentos comprometido — traçam um quadro desafiador para uma plataforma que navega entre crescimento rápido e dívidas de segurança legadas. O ataque de phishing ao frontend, em particular, destaca uma categoria de risco que muitas plataformas DeFi compartilham, mas poucas endureceram totalmente: a confiança implícita colocada em código de terceiros que roda em suas interfaces.
Perguntas frequentes
Como ocorreu o ataque de phishing à Polymarket?
Os atacantes comprometeram um fornecedor terceirizado e injetaram código malicioso na interface de frontend da Polymarket. Quando os usuários interagiam com a interface comprometida, o script era ativado e roubava fundos diretamente de suas carteiras conectadas.
Qual valor foi roubado no ataque de phishing à Polymarket e quantos usuários foram afetados?
Aproximadamente US$ 2,94 milhões foram roubados de pelo menos 11 carteiras de usuários. O PUSD roubado foi trocado por ETH e consolidado em um único endereço de carteira identificado pelo analista de blockchain Specter.
Como a Polymarket respondeu ao ataque de phishing?
A Polymarket removeu a dependência maliciosa, conteve o incidente e se comprometeu a reembolsar totalmente todos os usuários afetados. A plataforma também afirmou que estava entrando em contato diretamente com os usuários impactados.
Qual é o contexto mais amplo desse ataque dentro das tendências de segurança em cripto?
O ataque foi registrado como a 89ª violação de segurança cripto do 2º trimestre de 2026 pela DefiLlama, tornando-se a maior contagem trimestral de incidentes já registrada. Só em junho de 2026 houve US$ 74,9 milhões em perdas em 29 exploits, com comprometimentos de chaves privadas respondendo por 43% das perdas recentes por exploits.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Como ocorreu o ataque de phishing à Polymarket?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Os atacantes comprometeram um fornecedor terceirizado e injetaram código malicioso na interface de frontend da Polymarket. Quando os usuários interagiam com a interface comprometida, o script era ativado e roubava fundos diretamente de suas carteiras conectadas.”}},{“@type”:”Question”,”name”:”Qual valor foi roubado no ataque de phishing à Polymarket e quantos usuários foram afetados?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Aproximadamente US$ 2,94 milhões foram roubados de pelo menos 11 carteiras de usuários. O PUSD roubado foi trocado por ETH e consolidado em um único endereço de carteira identificado pelo analista de blockchain Specter.”}},{“@type”:”Question”,”name”:”Como a Polymarket respondeu ao ataque de phishing?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Polymarket removeu a dependência maliciosa , conteve o incidente e se comprometeu a reembolsar totalmente todos os usuários afetados. A plataforma também afirmou que estava entrando em contato diretamente com os usuários impactados.”}},{“@type”:”Question”,”name”:”Qual é o contexto mais amplo desse ataque dentro das tendências de segurança em cripto?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O ataque foi registrado como a 89ª violação de segurança cripto do 2º trimestre de 2026 pela DefiLlama, tornando-se a maior contagem trimestral de incidentes já registrada. Só em junho de 2026 houve US$ 74,9 milhões em perdas em 29 exploits, com comprometimentos de chaves privadas respondendo por 43% das perdas recentes por exploits.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.
