- Polymarket perde US$ 520 mil em POL e USDC após chave privada exposta
- Investigador ZachXBT detectou saques anômalos em contratos do UMA CTF Adapter
- Plataforma garante que fundos de usuários e contratos inteligentes seguem intactos
A polymarket confirmou que cerca de US$ 520 mil foram drenados de uma carteira operacional ligada à plataforma na rede Polygon. A causa, segundo a equipe, não foi exploração de contrato inteligente, mas o vazamento de uma chave privada interna usada para pagamentos de recompensas.
O alerta partiu do investigador on-chain ZachXBT, que identificou movimentações suspeitas em dois endereços associados aos contratos do UMA Conditional Token Framework (CTF) Adapter, usados para liquidação dos mercados de previsão. Foram retirados aproximadamente 5.000 tokens POL e um volume não divulgado de USDC.
A equipe da Polymarket reagiu em poucas horas. Afirmou que a carteira atingida cumpria função restrita de operações internas, iniciou rotação de chaves e disse que a apuração segue em andamento. De acordo com a empresa, o ataque não atingiu as liquidações de mercados, a infraestrutura de contratos nem os saldos dos clientes.
A diferença entre exploit e chave vazada
A distinção técnica é relevante. Um bug de contrato inteligente expõe uma falha estrutural do protocolo, corrigível por patch e auditoria. Já uma chave comprometida aponta para o elo humano da segurança — gestão de acesso, dispositivos, processos internos. Nenhum código em Solidity resolve esse tipo de problema.
Polymarket ainda não detalhou o vetor de ataque. Cada hipótese carrega implicações distintas para a postura operacional da empresa daqui para frente. Boas práticas do setor envolvem módulos de segurança em hardware (HSM), carteiras multi-assinatura e segregação de permissões por função — o que pode ter falhado nesse caso é justamente o que a investigação precisa explicar.
O episódio também não é o primeiro envolvendo a plataforma. Em ocorrência anterior, a Polymarket já havia enfrentado outro incidente na Polygon, o que aumenta a pressão por um post-mortem detalhado e por auditoria independente das práticas operacionais — não apenas dos contratos.
O que monitorar nas próximas semanas
Três sinais devem orientar quem mantém posições abertas. Primeiro, a publicação de um relatório técnico com o vetor exato do ataque e as medidas adotadas. Segundo, eventual auditoria independente da camada operacional, e não apenas dos contratos. Terceiro, rastreio e possível recuperação dos fundos drenados — operação que ZachXBT costuma documentar publicamente em sua conta no X.
Os US$ 520 mil drenados representam fração pequena diante de exploits bilionários em pontes e protocolos DeFi nos últimos anos. A escala não é o problema. O problema é o que o caso revela: a indústria gastou anos investindo em verificação formal e auditoria de código, enquanto a gestão de chaves e acessos internos seguiu como um ponto fraco recorrente. Enquanto esse desequilíbrio persistir, comprometimentos de chave continuarão entre os vetores de ataque mais previsíveis — e, paradoxalmente, mais evitáveis — do setor.
