- Polymarket confirmou invasões em contas ligadas a um provedor externo de autenticação.
- Relatos indicam prejuízos mesmo sem cliques suspeitos ou falhas nos dispositivos.
- Plataforma diz que o problema foi resolvido e nega riscos atuais.
A Polymarket confirmou perdas de usuários após uma falha de segurança em um provedor externo de autenticação usado no acesso às contas da plataforma.
Com isso, o episódio reacendeu alertas sobre riscos operacionais no setor cripto.
Falha externa atingiu usuários com login simplificado
Inicialmente, os primeiros relatos surgiram no X e no Reddit. Em seguida, usuários relataram tentativas de login seguidas de esvaziamento do saldo, além disso, muitos afirmaram que seus dispositivos estavam seguros e sem alertas do Google.
Um usuário escreveu no Reddit:
“Recebi três tentativas de login e, horas depois, minha conta estava zerada”.
Da mesma forma, outro relatou que nem a autenticação em dois fatores do e-mail impediu o ataque.
Segundo relatos públicos, os invasores atingiram principalmente contas criadas via Magic Labs, nesse contexto, o serviço permite login por e-mail e cria carteiras Ethereum não custodiais.
Por isso, muitos iniciantes no mercado cripto utilizam essa solução, na terça-feira, a Polymarket se pronunciou no Discord oficial.
“Identificamos recentemente e resolvemos um problema de segurança que afetou um pequeno número de usuários”, afirmou a equipe.
Segundo a empresa, o problema teve origem em uma vulnerabilidade de um provedor externo.
Plataforma evita números e relembra incidentes anteriores
Apesar da confirmação, a Polymarket não revelou quantos usuários sofreram impacto, além disso, a empresa não informou o valor total perdido nem identificou o provedor envolvido.
A equipe declarou que já corrigiu a falha, portanto, segundo a plataforma, não existem riscos ativos no momento. Ainda assim, a empresa prometeu contato direto com os usuários afetados.
Entretanto, o episódio não representa um caso isolado, em setembro de 2024, usuários que acessavam via contas Google relataram drenagem de USDC. Na ocasião, atacantes exploraram funções de “proxy” para desviar fundos.
Mais recentemente, no mês passado, um golpe de phishing nos comentários da plataforma causou mais de US$ 500 mil em perdas, nesse tipo de ataque, links disfarçados direcionavam usuários a sites falsos e capturavam credenciais.
Conclusão
O novo incidente expõe, mais uma vez, os riscos da dependência de autenticação terceirizada no setor cripto, por isso, plataformas enfrentam pressão crescente para fortalecer camadas próprias de segurança.
Ao mesmo tempo, para os usuários, o caso reforça a necessidade de cautela, mesmo em serviços consolidados.
