Polymarket Confirma Violação da Cadeia de Suprimentos de Front-End e Promete Reembolsos Totais Após Script Malicioso Drenar Fundos de Usuários

— By Tony Rabbit in News

Polymarket Confirma Violação da Cadeia de Suprimentos de Front-End e Promete Reembolsos Totais Após Script Malicioso Drenar Fundos de Usuários

Polymarket confirmou em 25 de junho de 2026 que um fornecedor terceirizado comprometido injetou um script malicioso em seu front-end, enganando alguns usuários a aprovar transferências que drenaram seus fundos. A Polymarket afirmou ter contido o incidente e reembolsará integralmente os usuários afetados. Analistas on-chain estimam aproximadamente 3 milhões de dólares em perdas.

Em 25 de junho de 2026, o mercado de previsões Polymarket confirmou que seu site foi atingido por um ataque de cadeia de suprimentos de front-end. De acordo com a própria declaração da Polymarket, um fornecedor terceirizado comprometido injetou um script malicioso no site para alguns usuários, levando-os a assinar transações que entregaram o controle de seus fundos a um invasor. A Polymarket afirmou ter contido o incidente, removido a dependência afetada e reembolsaria integralmente os usuários afetados. Crucialmente, este não foi um exploit de contrato inteligente ou oráculo. Os contratos subjacentes da plataforma não foram violados. O ataque ocorreu na camada do site, e é exatamente por isso que é importante para todos que auto-custodiam suas criptomoedas.

O que a Polymarket confirmou

  • A Polymarket confirmou oficialmente uma violação de front-end através de sua conta X verificada em 25 de junho de 2026.
  • Um fornecedor terceirizado comprometido injetou um script malicioso no front-end para alguns usuários.
  • O script levou os usuários afetados a aprovar transferências de pUSD, o token de dólar da Polymarket lastreado em USDC na Polygon.
  • A Polymarket afirmou ter contido o incidente, removido a dependência e reembolsará integralmente os usuários afetados.
  • Os contratos inteligentes não foram explorados. Este foi um ataque na camada do site.

O que aconteceu

A Polymarket descreveu o incidente em um comunicado público, reproduzido por veículos como Benzinga, Decrypt e Protos: "Esta manhã, descobrimos que um fornecedor terceirizado havia sido comprometido, injetando um script malicioso em nosso front-end para alguns usuários. Contivemos o problema e removemos a dependência afetada. Estamos contatando os usuários impactados e os reembolsando integralmente." Em termos simples, um software do qual o site da Polymarket dependia foi sequestrado, e através dele o invasor inseriu código malicioso no site que alguns visitantes carregaram. Esse código não quebrou os contratos da Polymarket. Em vez disso, ele enganou os usuários a assinar aprovações que permitiram ao invasor mover seus tokens.

Um ataque de front-end, não um hack de contrato

Esta distinção é a história completa. Em um exploit de contrato, os invasores encontram uma falha no código on-chain e drenam um pool diretamente. Aqui, os contratos estavam bem. O elo fraco era o site, a camada entre você e a blockchain. Ao comprometer uma dependência de terceiros, o invasor mudou o que o site pedia aos usuários para assinar, transformando uma interação rotineira em uma aprovação que drenava a carteira. Este é um ataque de cadeia de suprimentos, e é cada vez mais comum porque o front-end é frequentemente mais vulnerável do que os contratos auditados por trás dele. Também vale a pena ser preciso sobre qual incidente da Polymarket este é. É separado do exploit UMA CTF Adapter de maio de 2026 na Polygon, um evento diferente sinalizado por investigadores on-chain, e de disputas anteriores em torno do oráculo da plataforma. Para informações sobre a plataforma em si, consulte nosso guia para Polymarket e mercados de previsão.

Quanto foi levado

A Polymarket não publicou um valor em dólares, uma contagem de vítimas ou o nome do fornecedor comprometido. Os números em circulação vêm de analistas on-chain, não da Polymarket, e devem ser lidos como estimativas. Empresas de segurança on-chain, incluindo PeckShield, Bubblemaps e Specter, relataram aproximadamente 3 milhões de dólares em pUSD drenados de menos de 15 carteiras. Os analistas também relataram que o pUSD roubado foi transferido da Polygon para a Ethereum e trocado por ETH antes de ser consolidado. Como a própria Polymarket não confirmou nenhum desses números, trate-os como estimativas de analistas que podem ser revisadas à medida que mais informações forem rastreadas.

Por que isso importa mesmo que seu token esteja "seguro"

A lição aqui é desconfortável, mas importante: a segurança de tokens e contratos é necessária, mas não é suficiente. Você pode verificar um token em busca de um honeypot, confirmar que o contrato parece limpo e ainda assim perder fundos se o site ao qual você se conecta tiver sido comprometido e você aprovar uma transação maliciosa. O front-end é uma superfície de ataque por si só. Quando a própria interface mente para você, a única defesa restante é examinar exatamente o que sua carteira está pedindo para você assinar.

Como se proteger de ataques de front-end e aprovação

A conclusão

A Polymarket parece ter respondido rapidamente, contendo o incidente e comprometendo-se a reembolsos totais, o que limita os danos aos usuários. Mas o episódio é um lembrete claro de que, em cripto, o site faz parte do seu modelo de ameaça. Uma dependência comprometida pode virar uma interface confiável contra você em segundos, e nenhuma auditoria de contrato o salvará se você mesmo aprovar a transação maliciosa. Vá com calma em cada assinatura, mantenha as aprovações restritas e trate os avisos inesperados como hostis até que se prove o contrário. Esta é uma história em desenvolvimento e os números atribuídos aos analistas podem mudar. Este artigo é apenas para informação e não é um conselho financeiro.