Active voice

Hackers esvaziaram cerca de $3,1 milhões em tokens PUSD da Polymarket de 11 carteiras de utilizadores num ataque de phishing que transferiu os fundos roubados de Polygon para Ethereum, segundo a atualização de sábado no X da empresa de inteligência de blockchain AMLBot. Estimativas iniciais da PeckShield e do Specter Analyst tinham colocado as perdas perto de $2,94 milhões e cerca de 1.893 ETH; o número revisto da AMLBot é agora o valor de referência para o incidente.

A Polymarket disse que um fornecedor terceiro comprometido injetou um script malicioso no seu frontend e prometeu reembolsos integrais aos detentores de PUSD afetados. A plataforma afirmou que conteve a violação e removeu a dependência afetada, embora o mercado de previsão tenha recusado mais comentários quando contactado pela CoinDesk no sábado.

Porque importa

Este é o terceiro incidente de segurança reportado na Polymarket em quatro meses. Em março, o investigador on-chain ZachXBT sinalizou mais de $520.000 drenados de dois contratos inteligentes na Polygon; a plataforma disse então que os fundos estavam seguros. Em dezembro, utilizadores reportaram saldos em falta e logins suspeitos no seu canal Discord, que a empresa atribuiu a um fornecedor de login terceiro não identificado. O modo de falha recorrente, em cada caso, é uma integração de terceiros e não os contratos da própria Polymarket, um risco estrutural que a plataforma ainda não eliminou.

O ataque acontece ainda enquanto a Polymarket está supostamente sob escrutínio federal. O Wall Street Journal noticiou uma investigação sobre promoções supostamente enganosas nas redes sociais, com utilizadores a exibirem ganhos, adicionando uma frente regulatória à frente de segurança.

Impacto no mercado

O compromisso de reembolso atenua o impacto imediato para os detentores de retalho de PUSD, mas não aborda o padrão: cada violação recente tem sido rastreada até um fornecedor externo ou prestador de login, e não aos contratos inteligentes da Polymarket. Para uma plataforma cuja proposta central é a descoberta de preços de alta confiança sobre eventos do mundo real, falhas repetidas do lado da confiança na mesma fronteira de fornecedores são a narrativa mais difícil de ultrapassar. O próximo teste é se a Polymarket consegue isolar o seu frontend de dependências de terceiros por completo, ou se a próxima violação vai explorar a mesma vulnerabilidade.