- AMLBot revisa perdas da Polymarket para US$ 3,1 milhões em 11 carteiras
- Atacantes converteram PUSD em 1.893 ETH após ponte de Polygon a Ethereum
- Plataforma promete reembolso integral enquanto CFTC avalia propaganda enganosa
O ataque à Polymarket ficou maior do que parecia nas primeiras horas. A firma de inteligência on-chain AMLBot revisou nesta semana o prejuízo do incidente para cerca de US$ 3,1 milhões, valor acima da estimativa inicial de US$ 2,94 milhões divulgada por outros analistas. A polymarket é uma plataforma de prediction markets que opera sobre a Polygon.
Segundo o levantamento, os fundos foram retirados de 11 carteiras de usuários em PUSD, a stablecoin nativa da plataforma. O caminho do dinheiro já está mapeado, saída pela Polygon, ponte para a Ethereum via Relay, conversão para USDC.e e, em seguida, troca por aproximadamente 1.893 ETH, consolidados em um único endereço.
Vendor terceiro abriu brecha no frontend
A própria Polymarket reconheceu o problema em publicação oficial no X em 25 de junho. A empresa afirmou que um fornecedor terceirizado foi comprometido, o que permitiu injetar código malicioso em parte do frontend do site para alguns usuários. Segundo o comunicado, a equipe removeu a dependência comprometida.
O detalhe técnico importa. O ataque explorou o mecanismo EIP-7702 de delegated execution, que permite que carteiras externas aprovem ações em nome do usuário. Quando o frontend manipulado solicita uma assinatura, a vítima acredita estar interagindo normalmente com a plataforma mas autoriza, na prática, a drenagem dos próprios saldos. O contrato inteligente principal da Polymarket não foi tocado.
A PeckShield e o analista Specter confirmaram o vetor de ataque e o destino dos fundos. Ataques desse tipo são particularmente perigosos porque a interface visual permanece idêntica à legítima, só a leitura cuidadosa do payload da transação revelaria o desvio.
Polymarket promete reembolso integral
A plataforma se comprometeu a devolver o valor cheio às 11 vítimas. A promessa repete o roteiro adotado pela SecondFi após o exploit recente em Cardano, mas a execução real ainda depende de capital próprio da empresa não há fundo de seguro descentralizado envolvido.
Não é o primeiro susto da Polymarket. Em março, o investigador ZachXBT sinalizou suspeita de breach com cerca de US$ 520 mil envolvendo dois contratos em Polygon, episódio depois descartado pela plataforma. Em dezembro, usuários relataram saldos sumidos e tentativas suspeitas de login após um incidente no Discord oficial.
DefiLlama aponta trimestre recorde de ataques
O caso entrou na contabilidade da DefiLlama como o 89º incidente de segurança cripto do segundo trimestre de 2026 o maior número de eventos já registrado em um único trimestre, segundo o agregador. O dado reforça uma tendência clara os atacantes migraram do código dos contratos para a periferia do stack frontends, bibliotecas JavaScript, fornecedores de DNS e dependências de terceiros.
Para o investidor brasileiro que usa plataformas Web3, o recado é prático. Usuários reduzem riscos ao conferir contratos no popup, usar hardware wallets e separar saldos diários do estoque de longo prazo.
CFTC investiga propaganda em prediction markets
O ataque chega num momento sensível para a empresa. Os senadores norte-americanos Adam Schiff e John Curtis pediram que a CFTC investigue supostas práticas enganosas de publicidade da Polymarket, incluindo sites de trading simulado, transações encenadas e campanhas pagas com influenciadores não declaradas.
O cenário regulatório fica ainda mais complexo com a briga em torno dos contratos de eventos esportivos. Senadores tentam barrar a CFTC em sua disputa com estados como Kentucky, que classifica os produtos da Polymarket e da Kalshi como apostas esportivas sem licença. A decisão final definirá se os prediction markets seguirão regras federais ou estaduais e influenciará CVM e Banco Central.
