Falha de segurança na Polymarket: vulnerabilidade de fornecedor externo expõe contas de usuários

Ferramenta de Login de Terceiros se Torna Porta de Entrada para Hackers

Em 24 de dezembro de 2025, a Polymarket, plataforma de mercado de previsões, confirmou que uma vulnerabilidade em um serviço externo de autenticação permitiu que invasores acessassem e esvaziassem contas de usuários. Essa falha representa um risco crítico no cenário de segurança dos mercados de previsões, especialmente para usuários que utilizavam login por e-mail ao invés de conexão direta de carteira. O incidente evidencia uma vulnerabilidade essencial em plataformas de finanças descentralizadas que integram autenticação externa sem protocolos de isolamento adequados.

O sistema de autenticação comprometido, amplamente mencionado por usuários afetados como sendo da Magic Labs, utiliza login por "magic link" via e-mail e gera carteiras Ethereum não custodiais. Usuários que abriram contas por esse serviço relataram diversas tentativas de login não autorizadas seguidas pelo esvaziamento total dos seus ativos. Muitos receberam notificações de tentativas de acesso em redes sociais antes de perceberem que seus saldos em USDC haviam sido reduzidos a valores mínimos. A vulnerabilidade permaneceu ativa tempo suficiente para que hackers identificassem e explorassem sistematicamente contas em toda a plataforma. O protocolo central da Polymarket permaneceu seguro durante o episódio, com a violação limitada à camada de autenticação terceirizada. Essa distinção é fundamental para entender os riscos das plataformas de mercados de previsões, pois mostra que até sistemas descentralizados podem sofrer grandes impactos de segurança devido a dependências centralizadas. Todos os relatos de usuários comprometidos seguiram o mesmo padrão, facilitando a identificação rápida do vetor de ataque por pesquisadores de segurança e pela equipe da plataforma.

Como Hackers Exploram a Falha da Polymarket para Esvaziar Contas de Usuários

Os hackers exploraram a vulnerabilidade na autenticação terceirizada por meio de um processo em múltiplas etapas, contornando defesas de segurança convencionais. A falha no login por e-mail permitiu que invasores acessassem contas de usuários sem que mecanismos avançados de detecção de fraude fossem acionados. Usuários relataram notificações sequenciais de tentativas de login, sugerindo uso de credenciais comprometidas ou interceptação de tokens de autenticação para obter acesso inicial. Após o login não autorizado, os hackers realizaram transferências de ativos com pouca resistência, drenando saldos em USDC diretamente das carteiras vinculadas às contas Polymarket.

O funcionamento técnico do ataque revela falhas graves na integração de autenticação de terceiros feita pela Polymarket. O sistema de "magic link", pensado para facilitar o acesso dos usuários, abriu caminho para que hackers contornassem a autenticação multifatorial em determinadas configurações. Um usuário afetado relatou ter recebido notificações de autenticação em dois fatores por e-mail durante o acesso não autorizado, indicando que os invasores tinham privilégios para superar as camadas padrão de verificação. Os fundos foram transferidos entre diversos endereços de criptomoedas em sequência rápida; análises on-chain mostram que os ativos roubados foram rapidamente divididos e lavados por diferentes carteiras para dificultar rastreamento. A velocidade dessas transações — em poucos minutos após o comprometimento — indica automação e processos previamente preparados, não simples transferências manuais. Essa sofisticação revela uma atuação organizada e direcionada contra vulnerabilidades de plataformas de mercados de previsões, não apenas invasão oportunista de contas. A ausência de sinais claros de aprovação para transferências demonstra que a falha de autenticação permitia acesso total à conta, possibilitando aos hackers agir como titulares legítimos. A Polymarket confirmou que a vulnerabilidade era exclusiva da infraestrutura do fornecedor terceirizado, sem relação com os sistemas centrais ou contratos do protocolo.

Falhas Graves de Segurança: Onde Houve Erro e O Que Faltou aos Usuários

Falhas múltiplas de segurança permitiram que o incidente causasse prejuízos em várias contas. A Polymarket não implantou monitoramento e segmentação adequados para autenticação terceirizada, deixando a vulnerabilidade explorável por tempo prolongado. Faltou isolamento entre os sistemas de autenticação e os mecanismos de transferência de ativos, fazendo com que uma brecha em um ponto afetasse diretamente os fundos dos usuários. Os protocolos de resposta a incidentes também não eram claros quanto à notificação aos usuários, recuperação de contas e compensação durante o evento de segurança.

Usuários também ignoraram sinais importantes que poderiam ter evitado ou reduzido as perdas. Muitos, mesmo tendo recebido notificações de tentativas de login, não alteraram imediatamente as credenciais nem ativaram medidas extras de segurança. Alguns confiaram apenas na autenticação em dois fatores por e-mail, sem perceber que esse método pode ser burlado se o serviço de autenticação for comprometido. Usuários que criaram contas via serviços terceirizados sem controle direto de carteira assumiram riscos desnecessários de custódia inerentes ao acesso por e-mail. A recomendação da comunidade de usar hardware wallets ou soluções de custódia reconhecidas foi pouco aproveitada entre os afetados que priorizaram a praticidade em detrimento da segurança. Muitos traders em mercados de previsões operam rapidamente em várias posições e contas, por vezes negligenciando os riscos dos métodos de login escolhidos. O caso mostra que mesmo investidores experientes em cripto podem ignorar princípios básicos de segurança ao focar mais na negociação do que na proteção das contas.

Ações Imediatas para Proteger Seus Ativos Cripto em Mercados de Previsões

Quem investe em criptomoedas em mercados de previsões deve adotar medidas urgentes de segurança para proteger seus ativos e evitar invasões. A primeira ação indispensável é abandonar sistemas de autenticação por e-mail. Se possui conta em plataformas de mercado de previsões, opte por conexão direta de carteira usando hardware wallets como Ledger ou Trezor, eliminando a exposição a falhas de autenticação terceirizada. Para quem não pode migrar imediatamente, ative todas as opções de segurança disponíveis, incluindo autenticação em dois fatores por aplicativos autenticadores, evitando métodos por SMS ou e-mail, já que estes podem ser burlados pelas mesmas vulnerabilidades que permitiram o ataque.

Realize auditoria completa das atividades de sua conta de negociação em todas as plataformas de mercado de previsões, monitorando transações não autorizadas, posições encerradas ou movimentações de ativos que não tenham partido de você. Acesse o histórico de transações e confirme se cada operação, depósito e retirada corresponde às suas ações. Caso encontre atividade suspeita, entre em contato imediatamente com a equipe de segurança da plataforma e guarde todos os registros para possível recuperação ou reporte regulatório. Implemente restrições geográficas ou por IP se o sistema oferecer esse recurso, impedindo invasores em outras localidades, mesmo que tenham credenciais válidas. Para contas com grandes saldos, transfira a maior parte dos ativos para cold storage ou opções seguras de autocustódia entre operações, utilizando plataformas de mercado de previsões apenas com o capital que está em negociação ativa. Polymarket e outras plataformas devem ser vistas como interfaces de negociação, não soluções de armazenamento. Revise periodicamente os métodos de autenticação e credenciais, trocando senhas a cada três meses e imediatamente após incidentes amplos de segurança como o de 24 de dezembro de 2025. Configure alertas no seu e-mail para notificações de acesso ou recuperação de conta, criando mais uma barreira contra tentativas de invasão. Considere usar e-mails exclusivos para contas cripto, separados do endereço principal, limitando o impacto em caso de comprometimento. Se utilizar serviços como Gate para infraestrutura de negociação ou gerenciamento de contas, garanta que adotem autenticação robusta e sejam transparentes quanto ao tratamento dos dados. Acompanhe redes sociais, fóruns e comunicados oficiais das plataformas para atualizações de segurança ou avisos sobre vulnerabilidades, pois informações rápidas sobre riscos podem ajudar a proteger suas contas e ativos.