Polymarket sofre ataque e perde cerca de $2,94 milhões
A plataforma afirma que a dependência afetada foi removida e os usuários impactados serão reembolsados integralmente.
A Polymarket disse que houve uma violação de fornecedor terceirizado que permitiu que atacantes injetassem um script malicioso em seu frontend, com um analista estimando cerca de $2,94 milhões drenados de pelo menos 11 carteiras de usuários. A plataforma afirmou que a dependência afetada foi removida e que os usuários impactados seriam totalmente reembolsados.
Principais Conclusões
- Uma violação de fornecedor terceirizado possibilitou a injeção de um script malicioso em Polymarket’s frontend, impactando múltiplos usuários.
- O analista de blockchain Specter estimou que cerca de $2,94 milhões foram drenados de pelo menos 11 carteiras, descrevendo o fluxo como habilitado por phishing.
- A Polymarket disse que o incidente foi "contenção", a "dependência afetada foi removida" e os usuários "seriam totalmente reembolsados."
- A DefiLlama registrou o evento como a 89ª violação de segurança cripto reportada do Q2 por contagem de incidentes e colocou as perdas do exploit de junho em $74,9 milhões em 29 incidentes.
Compromisso de Fornecedor da Polymarket Injetou Script Malicioso no Frontend
Atacantes comprometeram um fornecedor terceirizado utilizado pela Polymarket e usaram esse acesso para injetar um script malicioso no frontend da plataforma, afetando múltiplos usuários. O mecanismo é importante porque atinge a camada web com a qual os traders realmente interagem, não necessariamente os contratos on-chain.
O analista de blockchain Specter estimou que o incidente drenou cerca de $2,94 milhões de pelo menos 11 carteiras de usuários do Polymarket. Specter disse que o script injetado parecia facilitar phishing, um padrão onde uma interface confiável é manipulada para enganar os usuários a aprovarem transferências ou revelarem informações sensíveis.
O pacote não inclui um total de perdas confirmado pela plataforma, o número total de usuários afetados ou a janela de tempo exata em que o script esteve ativo, além de uma referência à descoberta na quinta-feira. Isso deixa os traders trabalhando com uma estimativa de analista enquanto aguardam um cálculo final.
Medidas de Contenção e Compromisso de Reembolso da Polymarket
A Polymarket disse no X que o compromisso “foi contido” e que a “dependência afetada foi removida.” A plataforma também afirmou que os usuários impactados “seriam totalmente reembolsados.”
Esse compromisso de reembolso é o principal estabilizador para o comportamento dos usuários no curto prazo. Ele pode limitar os danos à reputação se executado de forma rápida e limpa, mas não elimina o risco operacional para os usuários ativos até que haja confirmação dos detalhes de processamento e casos extremos. Em incidentes como este, o efeito de segunda ordem é muitas vezes a confiança na interface, não apenas o valor em dólares perdido.
O incidente também ocorre após uma divulgação separada da Polymarket cerca de um mês antes sobre um exploit de $600.000 ligado a um projeto de seis anos.chave privadausado para operações internas de recarga. O vice-presidente de engenharia da Polymarket, Josh Stevens, disse na época que os contratos e os fundos dos usuários permaneciam seguros e que as permissões vinculadas à chave foram revogadas.
Contexto de Segurança: Ritmo de Incidentes no Q2 e Totais de Perdas de Junho
A DefiLlama caracterizou o evento Polymarket como a 89ª violação de segurança em criptomoedas relatada no segundo trimestre, em termos de contagem de incidentes, estendendo o que descreveu como o trimestre mais hackeado já registrado em contagem de incidentes. As perdas por explorações em junho totalizaram $74,9 milhões em 29 incidentes, em comparação com $60,5 milhões em maio e $644 milhões em abril, segundo a DefiLlama.
A análise da DefiLlama dos últimos 30 dias também contextualiza o ambiente: compromissos de chaves privadas representaram 43% das perdas de exploração relatadas, explorações de provas falsas foram 10% e honeypots de MEV reverso foram 8%.
A escala da Polymarket aumenta as apostas. Os dados da DefiLlama colocam a plataforma em mais de $450 milhões em TVL, um aumento de 301% em relação a $112 milhões há um ano. Esse crescimento torna a integridade do frontend e a higiene dos fornecedores mais do que um detalhe técnico, já que mais fluxo de mercado de previsões agora está concentrado atrás de uma única superfície web.
Sinais para observar a drenagem de compromissos de fornecedores da Polymarket $2,9M
A primeira confirmação que importa é se os reembolsos foram realmente processados, incluindo tempo, método e se algum usuário se enquadra em casos extremos não resolvidos.
Em seguida, há um pós-morte que nomeia o fornecedor ou dependência de terceiros comprometidos e determina a janela exata em que o script malicioso estava ativo. Sem isso, os traders não podem avaliar adequadamente a exposição ou julgar se a correção é durável.
Os relatórios de perdas também ainda estão em fluxo. Qualquer atualização além da estimativa do Specter, incluindo carteiras adicionais afetadas ou um total confirmado pela plataforma, determinará se isso permanece um incidente contido a nível de usuário ou se expande para um evento de confiança mais amplo.
Finalmente, observe o TVL da Polymarket, atualmente relatado acima de $450 milhões pela DefiLlama, em busca de sinais de rotação de capital de curto prazo após a implementação dos reembolsos. Um TVL estável ou em recuperação sugeriria que o mercado está tratando isso como um contratempo operacional em vez de um risco estrutural.risco de contraparte..
O risco de Frontend/Fornecedor é um modo de falha diferente do risco de contrato inteligente.
Eu não trato isso como uma história de contrato inteligente. O modo de falha central descrito aqui é o risco da cadeia de suprimentos da web, onde uma dependência comprometida pode transformar um frontend legítimo em uma superfície de phishing e empurrar os usuários a assinarem a desistência de fundos.
O limiar que importa é a execução: se a Polymarket entregar reembolsos completos rapidamente e publicar um post-mortem claro que reduza a janela de exposição, isso parece mais um catalisador de sentimento do que uma mudança fundamental. Se o total de perdas crescer ou o processamento de reembolsos demorar, a configuração começa a parecer estrutural em vez de impulsionada por narrativas, porque a confiança na interface é o produto.
