A plataforma de mercados de previsão Polymarket confirmou uma brecha de segurança que resultou na perda de aproximadamente US$ 3 milhões, causada por código malicioso inserido por um fornecedor externo comprometido.
A Polymarket, uma das maiores plataformas de mercados de previsão baseados em blockchain, reconheceu publicamente que sofreu um ataque sofisticado de supply chain — ou cadeia de fornecimento — que drenou cerca de US$ 3 milhões de usuários da plataforma. O incidente foi confirmado pela própria empresa após investigação interna.
Segundo a The Defiant, os hackers não comprometeram diretamente os contratos inteligentes da Polymarket, mas sim um fornecedor terceirizado responsável por parte do front-end da plataforma. Esse fornecedor teve seu código adulterado, permitindo que agentes maliciosos injetassem scripts capazes de redirecionar fundos de usuários desavisados.
A empresa informou que menos de 15 contas foram diretamente afetadas pela exploração e que todas receberão reembolso integral dos valores perdidos. Ainda assim, o episódio acende um alerta sobre os riscos associados à dependência de infraestrutura de terceiros em aplicações descentralizadas.
Como o ataque foi executado
Ataques do tipo supply chain exploram a cadeia de dependências de um software. Em vez de atacar diretamente o alvo principal — cujas defesas costumam ser mais robustas —, os criminosos miram um fornecedor ou biblioteca de terceiros com acesso ao sistema principal. Neste caso, o vetor foi o front-end web da Polymarket.
O código malicioso injetado tinha capacidade de manipular as interações dos usuários com a plataforma, possivelmente alterando endereços de destino de transações ou criando aprovações não autorizadas de contratos. Esse tipo de ataque é particularmente perigoso porque o usuário visualiza uma interface aparentemente legítima, sem perceber que os bastidores foram adulterados.
Código malicioso injetado via fornecedor terceirizado do front-end, sem comprometer contratos inteligentes da Polymarket.
Aproximadamente US$ 3 milhões drenados de menos de 15 contas de usuários afetados.
Polymarket prometeu reembolso integral a todas as contas afetadas e confirmou que está investigando a origem da brecha.
Ataque supply chain — uma das modalidades mais difíceis de detectar, pois explora dependências externas confiáveis.
Um risco estrutural do ecossistema DeFi
O incidente da Polymarket não é isolado. Ataques de supply chain têm se tornado cada vez mais frequentes no ecossistema de finanças descentralizadas (DeFi), justamente porque as equipes concentram esforços em auditar contratos inteligentes, mas deixam vulnerabilidades na camada de apresentação — os sites e interfaces que os usuários acessam.
O que isso significa para o usuário comum?
Mesmo que um protocolo DeFi tenha contratos inteligentes auditados e seguros, a interface web pela qual o usuário interage pode ser adulterada por terceiros. Isso significa que manter fundos em carteiras de custódia própria — e não em plataformas online — continua sendo a prática mais segura para quem prioriza a proteção do patrimônio digital.
A Polymarket é conhecida por permitir que usuários apostem em resultados de eventos do mundo real, de eleições a cotações de mercado. A plataforma opera sobre a blockchain Polygon e já movimentou bilhões de dólares em volume de apostas, especialmente durante períodos eleitorais nos Estados Unidos.
Até o momento, a empresa não divulgou o nome do fornecedor terceirizado comprometido nem detalhes técnicos completos sobre como a vulnerabilidade foi introduzida e por quanto tempo permaneceu ativa antes de ser detectada.
🔐 Proteja seus ativos digitais
Episódios como o da Polymarket reforçam a importância de manter criptoativos em carteiras de hardware (cold wallets), fora do alcance de interfaces web potencialmente comprometidas. Leia também: como blindar suas criptomoedas contra roubos.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Seus ativos merecem proteção de verdade
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Hardware wallet: por que usar uma?Descubra como carteiras físicas protegem seus ativos digitais mesmo quando interfaces web são comprometidas.
📊 O que é DeFi e quais são os riscos?As finanças descentralizadas oferecem oportunidades únicas, mas também vulnerabilidades específicas que todo usuário deve conhecer.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.