Comprar Cripto
Pagar com
USD
USD
Comprar e vender
Hot
Visa, Mastercard, SEPA e mais
P2P
0 Fees
Negociação flexível e sem taxas
Cartão Gate
Use criptomoedas para pagar pelo mundo
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Aceda a centenas de contratos perpétuos
CFD
Ouro
Plataforma de ativos tradicionais globais
Opções
Hot
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Negociação de demonstração
Introdução à negociação de futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para recompensas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Pre-IPOs
Desbloquear acesso completo a IPO de ações globais
Pontos Alpha
Negoceie ativos on-chain para airdrops
Pontos de futuros
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Square
Square
Descubra valor em cripto
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
flower_head
Mais
Promoções
AI
Outros
TradFi
Gate Card
Recompensas

Polymarket confirma uma falha na carteira interna; fundos dos utilizadores seguros

EthanBrooks
Incidentes de segurançaMercado de previsão
POL-1,74%

Abertura

A 14 de junho de 2026, a Polymarket confirmou um ataque a uma carteira interna que afetou o seu sistema de recompensas operacionais. A violação, sinalizada pela primeira vez pela empresa de analítica on-chain Bubblemaps, envolveu transferências automatizadas suspeitas a partir de uma carteira associada à distribuição de recompensas da plataforma. A Polymarket esclareceu que os fundos dos utilizadores continuam seguros, atribuindo o incidente a uma situação de comprometimento de chave privada e não a qualquer falha nos contratos inteligentes centrais da plataforma. A distinção é crucial: uma vulnerabilidade de contrato inteligente teria ameaçado cada dólar na plataforma, enquanto uma carteira operacional comprometida representa um problema contido. Este incidente demonstra como os mercados de previsão modernos lidam com falhas de segurança e com as escolhas arquitetónicas que limitam os danos quando ocorrem violações.

A Descoberta: Alertas da Bubblemaps e Saídas Automatizadas

O primeiro sinal público surgiu da Bubblemaps, uma ferramenta de visualização on-chain que monitoriza clusters de carteiras e fluxos de tokens em várias redes. O seu sistema de alertas automatizado sinalizou um padrão de saídas a partir de um endereço conhecido associado à Polymarket na rede Polygon, desencadeando uma análise imediata por parte da comunidade alargada de segurança cripto.

Em poucas horas, investigadores independentes corroboraram a descoberta. A carteira tinha sido drenada de forma sistemática através de uma série de transações idênticas, cada uma movendo uma quantidade fixa de tokens POL em intervalos regulares. A precisão mecânica das transferências indicava execução automatizada.

Reconhecimento de Padrões: Transferências Recorrentes de 5,000 POL

O atacante executou transferências exatamente de 5,000 POL a cada cerca de 12 minutos durante várias horas. Esta extração em “pingos” distribui o roubo por dezenas de transações menores, em vez de uma única transação grande que acionaria alertas de imediato.

Quando a Bubblemaps levantou o alarme, cerca de 230,000 POL (com um valor aproximado de $115,000 na altura) tinham saído da carteira. A uniformidade das quantidades e do timing sugeriu fortemente que um script ou bot estava a gerir a extração.

Rastrear o Endereço do Atacante na Rede Polygon

Investigadores on-chain rastrearam rapidamente o endereço de recebimento. O endereço do atacante não tinha histórico de transações anterior ao incidente, o que é típico de carteiras geradas recentemente para explorações. Empresas de forense na blockchain, incluindo Chainalysis e Arkham Intelligence, começaram a etiquetar os endereços associados no prazo de 24 horas.

Declaração Oficial da Polymarket: Compromisso de Carteira Interna

A resposta da Polymarket surgiu cerca de seis horas após o alerta da Bubblemaps. A plataforma publicou uma declaração no X (antigo Twitter) e no seu blogue oficial confirmando a violação. A declaração indicou explicitamente que nenhum saldo de utilizadores, posições de mercado ou mecanismos de resolução foram afetados. A Polymarket descreveu o incidente como um “compromisso de chave privada de uma carteira operacional interna”.

Fuga de Chave Privada vs. Vulnerabilidade de Contrato Inteligente

Uma vulnerabilidade de contrato inteligente significa que o código que governa as funções centrais da plataforma tem uma falha que um atacante pode explorar. Um comprometimento de chave privada significa que alguém obteve acesso à chave criptográfica que controla uma carteira específica. Os contratos inteligentes da plataforma funcionaram exatamente como foram concebidos; o problema foi que uma parte não autorizada obteve credenciais para um endereço específico.

A auditoria mais recente de contratos inteligentes da Polymarket, conduzida pela Trail of Bits no início de 2026, não encontrou vulnerabilidades críticas. Esses resultados de auditoria confirmam a integridade do código que governa os fundos dos utilizadores.

O Papel da Carteira Operacional nos Pagamentos de Recompensas

A carteira comprometida tinha uma função específica: distribuir recompensas de mineração de liquidez e incentivos promocionais a traders ativos. Detinha tokens POL reservados para estes programas, e não USDC ou outros stablecoins usados para posições de mercado.

Esta carteira operava como uma hot wallet, ou seja, a sua chave privada estava armazenada de forma que permitia transações automatizadas e frequentes. As hot wallets permitem rapidez e automação, mas apresentam um risco maior porque as suas chaves estão acessíveis a sistemas online.

Avaliação do Impacto e Reassurance da Segurança dos Utilizadores

O dano financeiro deste incidente foi relativamente limitado. Os cerca de $115,000 em POL roubado representam uma pequena fração do valor total bloqueado na Polymarket, que excedia $480 milhões na altura da violação. O volume diário de negociação da plataforma não foi afetado, e nenhum mercado foi interrompido ou perturbado.

Isolamento de Depósitos dos Utilizadores e Resoluções de Mercado

Os fundos dos utilizadores na Polymarket são mantidos em contratos inteligentes na Polygon, controlados pelo código do protocolo e não por qualquer chave privada única. Depósitos, levantamentos e resoluções de mercado executam-se através destes contratos. A carteira operacional comprometida não tinha autoridade sobre estas funções.

A carteira operacional só podia enviar POL para recompensas; não podia interagir com saldos de utilizadores, modificar parâmetros de mercado, nem acionar resoluções.

Estado Atual das Operações da Plataforma e da Liquidez

No momento em que este texto foi escrito, a Polymarket está totalmente operacional. As distribuições de recompensas foram temporariamente suspensas enquanto a equipa fazia rotação de chaves e implementava uma carteira de substituição. A plataforma confirmou que as recompensas em aberto devidas aos utilizadores seriam honradas a partir de uma afetação separada do tesouro.

A liquidez nos principais mercados, incluindo mercados de previsão política dos EUA e contratos de eventos globais, manteve-se estável. Não ocorreu um pico significativo de levantamentos nas 48 horas após a divulgação.

Implicações de Segurança para Mercados de Previsão Descentralizados

Este hack levanta questões sobre como os mercados de previsão gerem a tensão entre descentralização e conveniência operacional. A Polymarket opera como um híbrido: a mecânica central do mercado corre em contratos inteligentes, mas as funções de suporte dependem de infraestruturas mais tradicionais e centralizadas.

Riscos de Hot Wallets Operacionais Centralizadas

Qualquer carteira controlada por uma única chave privada é um alvo. Entre vetores comuns de ataque estão computadores de programadores comprometidos ou ambientes de cloud onde as chaves são armazenadas, ataques de phishing direcionados a membros da equipa com acesso a carteiras, ameaças internas e ataques à cadeia de abastecimento em software de gestão de chaves.

O incidente da Polymarket ainda não foi atribuído a um vetor específico, embora a plataforma tenha indicado que a investigação está em curso com a assistência de empresas externas de segurança.

Boas Práticas para Mitigar a Exposição de Hot Wallets

Várias práticas podem reduzir o risco e o impacto de comprometimentos de hot wallet:

  • Usar carteiras multisig para qualquer endereço que detenha valor significativo, mesmo que seja operacional
  • Implementar limites de gastos que capping a quantidade que qualquer transação ou período de tempo pode mover
  • Rodar chaves num calendário regular e após quaisquer mudanças de pessoal
  • Armazenar as chaves de hot wallet em módulos de segurança de hardware em vez de soluções baseadas em software
  • Monitorizar saídas em tempo real com alertas automatizados calibrados para detetar padrões anómalos

A Polymarket indicou que adotará várias destas medidas para a sua carteira operacional de substituição, incluindo requisitos de multisig e tetos de gastos por transação.

Monitorização em Curso e Passos Futuros de Remediação

A Polymarket comprometeu-se a publicar um post-mortem completo no prazo de 30 dias, incluindo a causa raiz da fuga de chave, uma linha temporal detalhada e os passos específicos de remediação que estão a ser implementados.

A resposta da plataforma foi, em grande medida, transparente, estabelecendo um precedente positivo. À medida que plataformas como Polymarket e Kalshi competem por quota de mercado, incidentes de segurança irão cada vez mais moldar a confiança dos utilizadores e a perceção regulatória. Uma violação tratada bem, com divulgação rápida, comunicação clara e contenção demonstrável, pode reforçar a credibilidade de uma plataforma.

Ver fonte
Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.

Notícias relacionadas

05-22 15:38
Plataformas de mercado preditivo aumentam as avaliações para $220B e $150B no meio de um diferendo regulamentar nos EUA
05-22 09:38
A Polymarket confirma uma fuga da chave privada de uma carteira interna; os fundos dos utilizadores e a liquidação do mercado continuam seguros
05-22 09:32
A Comissão de Radiodifusão da Coreia do Sul inicia uma revisão da Polymarket devido a preocupações com apostas eleitorais
Related Articles

Polymarket nomeia líder no Japão e visa aprovação regulatória até 2030

Ethan Brooks05-22 15:14

Carteira do Polymarket esvaziada num $700K exploit da chave privada

Ethan Brooks05-22 12:28

Polymarket procura aprovação regulatória japonesa antes de 2030

Market Whisper05-22 05:14

Regulador da Coreia do Sul analisa Polymarket por violações relacionadas com jogos de fortuna ou azar

Ethan Brooks05-21 08:32
Comentar
0/400
Nenhum comentário