Web3

Polymarket perde US$ 520 mil em POL e USDC com hacke em chave privada

Por Cassio Gusson
  • Polymarket perde US$ 520 mil em POL e USDC após chave privada exposta
  • Investigador ZachXBT detectou saques anômalos em contratos do UMA CTF Adapter
  • Plataforma garante que fundos de usuários e contratos inteligentes seguem intactos

A polymarket confirmou que cerca de US$ 520 mil foram drenados de uma carteira operacional ligada à plataforma na rede Polygon. A causa, segundo a equipe, não foi exploração de contrato inteligente, mas o vazamento de uma chave privada interna usada para pagamentos de recompensas.

O alerta partiu do investigador on-chain ZachXBT, que identificou movimentações suspeitas em dois endereços associados aos contratos do UMA Conditional Token Framework (CTF) Adapter, usados para liquidação dos mercados de previsão. Foram retirados aproximadamente 5.000 tokens POL e um volume não divulgado de USDC.

A equipe da Polymarket reagiu em poucas horas. Afirmou que a carteira atingida cumpria função restrita de operações internas, iniciou rotação de chaves e disse que a apuração segue em andamento. De acordo com a empresa, o ataque não atingiu as liquidações de mercados, a infraestrutura de contratos nem os saldos dos clientes.

CONTINUA APÓS A PUBLICIDADE

A diferença entre exploit e chave vazada

A distinção técnica é relevante. Um bug de contrato inteligente expõe uma falha estrutural do protocolo, corrigível por patch e auditoria. Já uma chave comprometida aponta para o elo humano da segurança — gestão de acesso, dispositivos, processos internos. Nenhum código em Solidity resolve esse tipo de problema.

Polymarket ainda não detalhou o vetor de ataque. Cada hipótese carrega implicações distintas para a postura operacional da empresa daqui para frente. Boas práticas do setor envolvem módulos de segurança em hardware (HSM), carteiras multi-assinatura e segregação de permissões por função — o que pode ter falhado nesse caso é justamente o que a investigação precisa explicar.

CONTINUA APÓS A PUBLICIDADE

O episódio também não é o primeiro envolvendo a plataforma. Em ocorrência anterior, a Polymarket já havia enfrentado outro incidente na Polygon, o que aumenta a pressão por um post-mortem detalhado e por auditoria independente das práticas operacionais — não apenas dos contratos.

O que monitorar nas próximas semanas

Três sinais devem orientar quem mantém posições abertas. Primeiro, a publicação de um relatório técnico com o vetor exato do ataque e as medidas adotadas. Segundo, eventual auditoria independente da camada operacional, e não apenas dos contratos. Terceiro, rastreio e possível recuperação dos fundos drenados — operação que ZachXBT costuma documentar publicamente em sua conta no X.

Os US$ 520 mil drenados representam fração pequena diante de exploits bilionários em pontes e protocolos DeFi nos últimos anos. A escala não é o problema. O problema é o que o caso revela: a indústria gastou anos investindo em verificação formal e auditoria de código, enquanto a gestão de chaves e acessos internos seguiu como um ponto fraco recorrente. Enquanto esse desequilíbrio persistir, comprometimentos de chave continuarão entre os vetores de ataque mais previsíveis — e, paradoxalmente, mais evitáveis — do setor.

CONTINUA APÓS A PUBLICIDADE
Tags
Compartilhe este artigo
PorCassio Gusson
Siga:
Sou jornalista com mais de 20 anos de trajetória, dedicando a última década exclusivamente ao mercado de criptomoedas e ativos digitais. Minha formação acadêmica inclui o bacharelado em Jornalismo pela FACCAMP e uma pós-graduação em Globalização e Cultura, o que me permite analisar o ecossistema cripto sob uma ótica macroeconômica e social. Ao longo da minha carreira, tive o privilégio de entrevistar figuras centrais da história contemporânea e da tecnologia, como Adam Back, Bill Clinton e Henrique Meirelles. Além da atuação na linha de frente da informação, acompanhei de perto as discussões que moldam o sistema financeiro global em fóruns multilaterais de alto nível, como o G20 e o FMI. Decidi migrar do setor público para o mercado de blockchain por convicção: acredito no potencial técnico e disruptivo dessa tecnologia para redesenhar o futuro da economia digital. Hoje, utilizo minha experiência para traduzir a complexidade deste mercado com rigor jornalístico e visão estratégica.
Sair da versão mobile