Compre cripto
Pagar com
USD
USD
Compra e venda
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão da Gate
Pague com criptomoedas no mundo todo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Acesse centenas de contratos perpétuos
CFD
Ouro
Plataforma única para ativos tradicionais globais
Opções
Hot
Negocie opções vanilla no estilo europeu
Conta unificada
Maximize sua eficiência de capital
Negociação demo
Introdução à negociação de futuros
Prepare-se para sua negociação de futuros
Eventos de futuros
Participe de eventos e ganhe recompensas
Negociação demo
Use fundos virtuais para experimentar negociações sem riscos
Earn
Lançamento
CandyDrop
tag
Colete candies para ganhar airdrops
Launchpool
Staking rápido, ganhe novos tokens em potencial
HODLer Airdrop
Possua GT em hold e ganhe airdrops massivos de graça
Pre-IPOs
Desbloqueie o acesso completo a IPO de ações globais
Pontos Alpha
Negocie on-chain e receba airdrops
Pontos de futuros
Ganhe pontos de futuros e colete recompensas em airdrop
Investimento
Square
Praça
Descubra o valor em criptografia
Live
moments live
Análise de mercado de criptomoedas ao vivo
Bate-papo
Converse com os traders de criptomoedas
Notícias
Novidades sobre criptomoedas
flower_head
Mais
Promoções
AI
Outros
TradFi
Gate Card
Recompensas

Polymarket confirma hack na carteira interna; fundos dos usuários estão seguros

EthanBrooks
Incidentes de segurançaMercados de previsão
POL-1,74%

Abertura

Em 14 de junho de 2026, a Polymarket confirmou um hack de carteira interna que afetou seu sistema de recompensas operacionais. A invasão, inicialmente apontada pela empresa de análises on-chain Bubblemaps, envolveu transferências automatizadas suspeitas a partir de uma carteira vinculada à distribuição de recompensas da plataforma. A Polymarket esclareceu que os fundos dos usuários permanecem seguros, atribuindo o incidente à exposição de uma chave privada, e não a qualquer falha nos contratos inteligentes centrais da plataforma. A distinção é crítica: uma vulnerabilidade em contrato inteligente teria colocado em risco cada dólar na plataforma, enquanto uma carteira operacional comprometida representa um problema contido. Este incidente mostra como mercados de previsão modernos lidam com falhas de segurança e com escolhas arquiteturais que limitam os danos quando violações ocorrem.

A Descoberta: Alertas da Bubblemaps e Saídas Automatizadas

O primeiro sinal público veio da Bubblemaps, uma ferramenta de visualização on-chain que monitora clusters de carteiras e fluxos de tokens em múltiplas redes. O sistema de alertas automatizado deles sinalizou um padrão de saídas a partir de um endereço conhecido associado à Polymarket na rede Polygon, disparando uma fiscalização imediata por parte da comunidade mais ampla de segurança cripto.

Em poucas horas, pesquisadores independentes corroboraram a descoberta. A carteira havia sido drenada de forma sistemática por meio de uma série de transações idênticas, cada uma movendo uma quantidade fixa de tokens POL em intervalos regulares. A precisão mecânica das transferências indicou execução automatizada.

Reconhecimento de Padrões: Recorrência de Transferências de 5.000 POL

O atacante executou transferências exatamente de 5.000 POL aproximadamente a cada 12 minutos durante algumas horas. Esse “fluxo” de extração dilui o roubo em dezenas de transações menores, em vez de uma única transação grande que dispararia alertas imediatamente.

Quando a Bubblemaps levantou o alarme, aproximadamente 230.000 POL (no valor de cerca de US$ 115 mil na época) já haviam saído da carteira. A uniformidade dos valores e dos horários sugeriu fortemente que um script ou bot estava fazendo a extração.

Rastreando o Endereço do Atacante na Rede Polygon

Investigadores on-chain rastrearam rapidamente o endereço de recebimento. O endereço do atacante não tinha histórico de transações antes do incidente, o que é típico de carteiras recém-geradas usadas para explorações. Empresas de perícia em blockchain, incluindo Chainalysis e Arkham Intelligence, começaram a marcar os endereços associados em até 24 horas.

Declaração Oficial da Polymarket: Comprometimento de Carteira Interna

A resposta da Polymarket veio aproximadamente seis horas após o alerta da Bubblemaps. A plataforma publicou uma declaração no X (antigo Twitter) e em seu blog oficial confirmando a invasão. A nota observou explicitamente que nenhum saldo de usuários, posições de mercado ou mecanismos de resolução foram afetados. A Polymarket descreveu o incidente como um “comprometimento de chave privada de uma carteira operacional interna”.

Vazamento de Chave Privada vs. Vulnerabilidade em Contrato Inteligente

Uma vulnerabilidade em contrato inteligente significa que o código que governa as funções centrais da plataforma tem uma falha que o atacante pode explorar. Um comprometimento de chave privada significa que alguém obteve acesso à chave criptográfica que controla uma carteira específica. Os contratos inteligentes da plataforma funcionaram exatamente como projetados; o problema foi que uma parte não autorizada obteve credenciais para um único endereço específico.

A auditoria mais recente de contratos inteligentes da Polymarket, conduzida pela Trail of Bits no início de 2026, não encontrou vulnerabilidades críticas. Esses resultados confirmam a integridade do código que governa os fundos dos usuários.

O Papel da Carteira Operacional nas Liquidações de Recompensas

A carteira comprometida tinha uma função específica: distribuir recompensas de liquidez minerada e incentivos promocionais para traders ativos. Ela mantinha tokens POL destinados a esses programas, não USDC ou outras stablecoins usadas para posições de mercado.

Essa carteira operava como uma carteira hot, o que significa que sua chave privada era armazenada de um modo que permitia transações automatizadas e frequentes. Carteiras hot possibilitam velocidade e automação, mas trazem risco maior porque suas chaves ficam acessíveis a sistemas online.

Avaliação de Impacto e Reforço de Segurança ao Usuário

O dano financeiro deste incidente foi relativamente contido. Os aproximadamente US$ 115 mil em POL roubado representam uma parcela pequena do valor total bloqueado da Polymarket, que excedia US$ 480 milhões na época da violação. O volume diário de negociações da plataforma não foi afetado, e nenhum mercado foi pausado ou interrompido.

Isolamento de Depósitos do Usuário e Resoluções de Mercado

Os fundos dos usuários na Polymarket são mantidos em contratos inteligentes na Polygon, controlados pelo código do protocolo e não por qualquer chave privada individual. Depósitos, saques e resoluções de mercado executam por meio desses contratos. A carteira operacional comprometida não tinha autoridade sobre essas funções.

A carteira operacional só podia enviar POL para recompensas; ela não podia interagir com os saldos dos usuários, modificar parâmetros de mercado ou acionar resoluções.

Status Atual da Operação da Plataforma e Liquidez

No momento em que este texto foi escrito, a Polymarket está totalmente operacional. As distribuições de recompensas foram temporariamente pausadas enquanto a equipe rotacionava chaves e implantava uma carteira de substituição. A plataforma confirmou que as recompensas pendentes devidas aos usuários seriam honradas a partir de uma alocação separada do tesouro.

A liquidez em mercados importantes, incluindo mercados de previsão políticos dos EUA e contratos de eventos globais, permaneceu estável. Nenhum aumento significativo de saques ocorreu nas 48 horas seguintes à divulgação.

Implicações de Segurança para Mercados de Previsão Descentralizados

Este hack levanta perguntas sobre como mercados de previsão administram a tensão entre descentralização e conveniência operacional. A Polymarket opera de forma híbrida: a mecânica central de mercado roda em contratos inteligentes, mas funções de suporte dependem de infraestrutura mais tradicional e centralizada.

Riscos de Carteiras Operacionais Centralizadas

Qualquer carteira controlada por uma única chave privada é um alvo. Vetores comuns de ataque incluem máquinas de desenvolvedores comprometidas ou ambientes de nuvem onde as chaves são armazenadas, ataques de phishing visando membros da equipe que tenham acesso à carteira, ameaças internas e ataques à cadeia de suprimentos contra softwares de gerenciamento de chaves.

O incidente da Polymarket ainda não foi atribuído a um vetor específico, embora a plataforma tenha dito que a investigação está em andamento com o apoio de empresas externas de segurança.

Boas Práticas para Mitigar Exposição de Carteiras Hot

Várias práticas podem reduzir o risco e o impacto de comprometimentos de carteiras hot:

  • Usar carteiras multisig para qualquer endereço que detenha valor significativo, mesmo que seja operacional
  • Implementar limites de gasto que limitem a quantia que qualquer transação única ou período de tempo pode mover
  • Rotacionar chaves em uma agenda regular e após qualquer mudança de pessoal
  • Armazenar as chaves de carteiras hot em módulos de segurança de hardware, e não em soluções baseadas em software
  • Monitorar saídas em tempo real com alertas automatizados calibrados para detectar padrões anômalos

A Polymarket indicou que adotará várias dessas medidas para sua carteira operacional de substituição, incluindo requisitos de multisig e limites de gasto por transação.

Monitoramento Contínuo e Próximos Passos de Remediação

A Polymarket se comprometeu a publicar um post-mortem completo em 30 dias, incluindo a causa raiz do vazamento da chave, uma linha do tempo detalhada e as etapas específicas de remediação que estão sendo implementadas.

A resposta da plataforma foi, em grande parte, transparente, estabelecendo um precedente positivo. À medida que plataformas como Polymarket e Kalshi competem por participação de mercado, incidentes de segurança vão cada vez mais moldar a confiança do usuário e a percepção regulatória. Uma violação tratada bem, com divulgação rápida, comunicação clara e contenção demonstrável, pode fortalecer a credibilidade de uma plataforma.

Ver fonte
Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.

Notícias relacionadas

05-22 15:38
Plataformas de mercado de previsão elevam avaliações para $220B e $150B em meio a disputa regulatória dos EUA
05-22 09:38
Polymarket confirma vazamento da chave privada da carteira interna; fundos dos usuários e liquidação do mercado permanecem seguros
05-22 09:32
Comissão de Radiodifusão da Coreia do Sul inicia revisão da Polymarket por preocupações com apostas eleitorais
Related Articles

Polymarket nomeia líder no Japão e mira aprovação regulatória até 2030

Ethan Brooks05-22 15:14

Carteira da Polymarket foi drenada em um exploit de chave privada $700K

Ethan Brooks05-22 12:28

Polymarket busca aprovação regulatória do Japão antes de 2030

Market Whisper05-22 05:14

Regulador da Coreia do Sul avalia o Polymarket por violações relacionadas a jogos de azar

Ethan Brooks05-21 08:32
Comentário
0/400
Sem comentários