Um dos fornecedores terceirizados do Polymarket sofreu um ataque hacker na quinta-feira, disse o mercado de previsões, deixando seu site vulnerável a uma exploração que, segundo analistas, resultou na perda de milhões de dólares para os usuários da plataforma.
O Polymarket recusou-se a comentar quando contatado pela Decrypt, e não informou publicamente qual de seus fornecedores foi comprometido. Mas o ataque permitiu que os hackers injetassem código malicioso na interface (front-end) do mercado de previsões, disse a empresa em uma postagem no X.
No final, os hackers roubaram cerca de US$ 3 milhões em fundos de clientes.
Investigadores on-chain da Bubblemaps concluíram que o dano potencial do ataque foi amplamente contido, com menos de 15 contas de usuários afetadas. A empresa de investigações blockchain não respondeu imediatamente ao pedido de comentário da Decrypt.
Some Polymarket accounts affected:
0x349606c1b77F3Ba668879CbC9347f15a44cF8fc4
0xFB84a9d631A3a19204B82c78dFeb90b220255fB5
0x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce9
0x987B441a20Dd4AA4bA6d53069E852E7f820adF43
0x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…— Bubblemaps (@bubblemaps) June 25, 2026
O Polymarket disse que está em processo de reembolso total aos clientes afetados, e que o problema do front-end foi contido e removido.
Ainda não está claro quais medidas a plataforma de mercado de previsões pode tomar para evitar que tal exploração ocorra no futuro, dado que depende de alguns negócios externos, terceirizados, que aparentemente estão diretamente envolvidos na operação do site.
Os atacantes parecem ter drenado fundos das carteiras de clientes do Polymarket contendo pUSD, uma stablecoin atrelada ao dólar específica do Polymarket, lastreada por USDC, que é usada para facilitar todas as negociações na plataforma. Eles então converteram os fundos roubados em ETH e os reuniram em uma carteira Ethereum, onde, até o momento, permanecem.
No mês passado, o Polymarket sofreu outro ataque hacker, em uma carteira usada por funcionários da empresa para recarregar e pagar recompensas aos usuários. A exploração custou à empresa aproximadamente US$ 700.000 e provavelmente foi causada por um comprometimento de chave privada. Não pareceu impactar a infraestrutura da empresa ou representar riscos mais amplos, disseram os especialistas na época.
Tanto aquela exploração quanto a de hoje, no entanto, apontam para a capacidade dos hackers de se infiltrar em grandes empresas nas margens, mesmo quando os protocolos centrais permanecem seguros.
