Vulnerabilidade na certificação de terceiros levou à perda de fundos dos utilizadores da Polymarket, expondo riscos na infraestrutura de login Web3

Visão Geral do Incidente: Queda na Camada de Certificação, Milhões de Fundos Roubados

Em 24 de dezembro de 2025, a Polymarket confirmou oficialmente que a plataforma sofreu um ataque em larga escala a contas. A origem do incidente não foi um ataque ao contrato inteligente, mas uma vulnerabilidade de segurança introduzida por um fornecedor de serviços de autenticação de terceiros. Muitos utilizadores relataram que o saldo das suas contas foi transferido sem autorização, e alguns detinham posições em USDC que foram instantaneamente esvaziadas e liquidadas automaticamente.

O incidente foi inicialmente divulgado em 22 de dezembro de 2025 nas redes sociais X, Reddit e Discord. Os utilizadores reclamaram que, após várias tentativas de login, os fundos das suas contas desapareceram misteriosamente. Um utilizador afetado afirmou que o saldo caiu de um estado normal para $0.01, enquanto outro relatou que, mesmo ativando a autenticação de dois fatores por email, não conseguiu impedir o roubo.

Autenticação de Terceiros Torna-se um Ponto Frágil na Ecosfera Cripto

A Polymarket não revelou o nome do fornecedor de terceiros envolvido nem o montante total roubado, mas relatos de utilizadores apontam para soluções comuns de login por email, como Magic Labs. A empresa afirmou no canal Discord que identificou e resolveu o problema, e que o risco foi eliminado. No entanto, a afirmação de que se tratou de um “incidente isolado” e que “afetou apenas alguns utilizadores” gerou dúvidas.

A questão central é: para facilitar a entrada rápida dos utilizadores, muitas plataformas DeFi dependem de autenticação de terceiros, serviços de carteira e sistemas de login. Quando a segurança de um fornecedor é comprometida, a reação em cadeia pode afetar múltiplas aplicações na ecossistema. Essa arquitetura transfere riscos potenciais do nível de contratos inteligentes para o nível de autenticação — uma fraqueza muitas vezes negligenciada, mas igualmente fatal.

Risco Oculto do Login por Email e Carteira

O método de login baseado em email, usando “magic link”, é popular por sua facilidade de uso. As plataformas criam uma carteira Ethereum não custodial para o utilizador durante o cadastro, reduzindo a barreira de entrada para novos na cripto. Mas o preço é que o fornecedor ainda controla o mecanismo central de recuperação de login.

Utilizadores afetados afirmaram que, sem clicar em qualquer link suspeito, seus fundos foram roubados. Isso indica que o ataque não foi por phishing tradicional, mas por uma vulnerabilidade no backend do serviço de autenticação de terceiros. Uma vez que o atacante consegue ultrapassar essa camada de defesa, pode simular a identidade de um utilizador legítimo, autorizando transferências ou liquidações de posições — tudo sem intervenção do utilizador.

Lições do Passado: Repetição de Riscos Estruturais

Este não foi um incidente isolado. Em setembro de 2024, a Polymarket sofreu uma invasão semelhante envolvendo o método de login via Google. Na ocasião, o atacante utilizou uma função “proxy” para transferir USDC para um endereço de phishing, sendo classificado pela plataforma como um ataque direcionado relacionado à autenticação de terceiros.

Em novembro de 2025, comentários fraudulentos na seção de comentários também impactaram a plataforma. Os golpistas postaram links falsificados para induzir os utilizadores a inserir informações de login por email, resultando em perdas superiores a $500.000. Esses eventos indicam um padrão: autenticação e gestão de sessões tornaram-se alvos de alto valor, e as plataformas investem pouco na sua defesa.

Reflexão Profunda: O Custo da Dependência de Terceiros

A Polymarket ainda não publicou uma análise técnica detalhada ou uma linha do tempo completa do incidente, nem revelou planos de compensação. Os utilizadores afetados estão a migrar para conexões diretas de carteira (como MetaMask), embora isso não seja amigável para iniciantes.

Este incidente reforça uma verdade dolorosa na ecosfera cripto: para melhorar a experiência do utilizador, os protocolos cada vez mais dependem de serviços de terceiros — que deveriam ser ferramentas auxiliares, mas que se tornam pontos únicos de falha do sistema. Quando essas rotas críticas são invadidas, até os contratos inteligentes mais perfeitos não podem proteger os fundos dos utilizadores.

Para toda a indústria, a ameaça de vulnerabilidades em terceiros é tão grave quanto as falhas nos próprios protocolos. A Polymarket precisa de mais do que patches técnicos; necessita de uma reavaliação completa da sua cadeia de dependências, garantindo que os padrões de segurança dos fornecedores terceiros estejam alinhados com as suas próprias exigências.