Golpe de US$ 3 milhões no Polymarket: como um ataque na cadeia de suprimentos drenou fundos de usuários — e por que o escândalo das apostas falsas só piorou a situação

O ataque explorou uma fraqueza clássica em plataformas cripto: mesmo quando os contratos inteligentes blockchain são seguros, dependências de terceiros podem introduzir vulnerabilidades. Usuários interagindo com o site legítimo do Polymarket foram induzidos a aprovar transações fraudulentas porque o código malicioso era executado no domínio real da plataforma .

Medidas de Segurança Tomadas pelo Polymarket

A resposta imediata do Polymarket, anunciada no X/Twitter, incluiu:

• Conter e remover a dependência de terceiros comprometida de seu frontend
• Reembolso integral a todos os usuários afetados — a empresa se comprometeu a ressarcir as vítimas
• Uma investigação em andamento, embora o Polymarket tenha se recusado a nomear o fornecedor envolvido

A resposta foi rápida — a empresa detectou e confirmou a violação na mesma manhã em que ocorreu. No entanto, este foi o segundo incidente de segurança no Polymarket em menos de dois meses. Em meados de maio de 2026, um ataque a uma carteira interna resultou em perdas de aproximadamente US$ 700.000 após um comprometimento de chave privada . Esse incidente anterior também não afetou diretamente os fundos dos usuários, mas sinalizou fragilidades na segurança operacional do Polymarket que o ataque de junho confirmou.

O Escândalo de Marketing Enganoso

Dias antes do ataque, em 20 de junho de 2026, o Wall Street Journal publicou uma investigação bombástica revelando que o Polymarket havia pago criadores de conteúdo em redes sociais para produzir vídeos que mostravam falsamente usuários ganhando grandes quantias na plataforma .

Principais descobertas da investigação do WSJ:

• Analistas revisaram 1.105 vídeos sobre o Polymarket em plataformas sociais. 778 deles mostravam apostas falsas em sites clones — nenhum usava a exchange real do Polymarket .
• Os vídeos, coletivamente, mostravam ganhos totalizando US$ 1,9 milhão .
• O Polymarket fornecia aos criadores materiais instrucionais sobre como encenar as apostas .
• Em 26 de junho de 2026 — um dia após o ataque — a Associação Nacional de Defesa do Consumidor entrou com uma ação judicial acusando o Polymarket de orquestrar um esquema de marketing enganoso, pagar por anúncios secretos e mirar agressivamente estudantes universitários, obscurecendo as probabilidades de perda .
• O Polymarket respondeu dizendo que estava auditando seu conteúdo promocional .

O relatório do WSJ detalhou como uma contratada de marketing, a Virality, geria a rede de criadores e pagava entre US$ 2.000 e US$ 3.000 mensais — com pagamentos condicionados a que pelo menos 60% de seu público fosse baseado nos EUA, apesar da incerteza regulatória em torno dos mercados de previsão .

Como Essas Crises se Agravam Mutuamente

Os escândalos consecutivos criam uma crise de confiança composta em várias dimensões:

O timing importa: o ataque aconteceu cinco dias após a investigação do WSJ, o que significa que a falha de segurança imediatamente validou os críticos que argumentavam que os padrões operacionais e éticos do Polymarket eram perigosamente frouxos. A empresa agora enfrenta uma crise simultânea de segurança, legal e de reputação, sem um caminho claro para restaurar a confiança do usuário.

Implicações Mais Amplas para Plataformas Cripto

O ataque à cadeia de suprimentos do Polymarket faz parte de um padrão mais amplo na segurança cripto. Ataques à cadeia de suprimentos que visam fornecedores terceirizados são cada vez mais comuns porque contornam a forte segurança da infraestrutura blockchain. O vetor de ataque — injeção de JavaScript malicioso por meio de uma dependência de frontend comprometida — é bem conhecido, mas difícil de prevenir sem uma verificação rigorosa de fornecedores e controles de integridade de código .

Para usuários interagindo com qualquer plataforma cripto, o incidente do Polymarket ressalta várias lições:

• A segurança do contrato inteligente não é suficiente se as dependências do frontend forem comprometidas
• O risco de fornecedores terceirizados requer monitoramento contínuo, não apenas due diligence inicial
• Múltiplos incidentes de segurança em rápida sucessão sugerem fraquezas sistêmicas, não falhas isoladas

O caso do Polymarket também destaca o dano reputacional que ocorre quando falhas de segurança acontecem imediatamente após a exposição de marketing enganoso. Os usuários podem se perguntar: se uma plataforma está disposta a enganar o público sobre os resultados vencedores, sobre o que mais ela está disposta a enganar?

O Polymarket se comprometeu a reembolsar todos os usuários afetados, mas a empresa não nomeou o fornecedor comprometido nem forneceu detalhes sobre como a violação evitará incidentes futuros . Sem transparência e melhorias significativas de segurança, reconstruir a confiança do usuário será uma escalada íngreme.