Uma chave privada comprometida, datada de seis anos atrás, permitiu que um atacante acessasse a carteira interna de recompensas da Polymarket, resultando em aproximadamente US$ 700.000 em fundos roubados em 16 endereços. A plataforma de mercado de previsões, que opera na blockchain Polygon, confirmou que a violação não afetou os depósitos dos usuários nem os resultados dos mercados.
Pense nisso como alguém encontrando uma chave reserva antiga do armário de materiais de escritório. Eles não entraram no cofre, mas esvaziaram o armário bastante completamente.
Como o esvaziamento ocorreu
Investigadores on-chain ZachXBT e Bubblemaps foram os primeiros a sinalizar a atividade suspeita em 22 de maio. Estimativas iniciais avaliaram o dano em cerca de US$ 520.000, mas esse valor subiu para aproximadamente US$ 700.000 à medida que pesquisadores rastrearam os fundos roubados por múltiplos endereços, exchanges e misturadores.
O atacante agiu rapidamente, esvaziando 5.000 tokens POL a cada 30 segundos nos estágios iniciais. Esse tipo de ritmo metódico sugere automação, e não alguém clicando freneticamente em botões.
A carteira comprometida era um endereço de administração legado usado especificamente para distribuir recompensas de engajamento dos usuários. Em inglês: era uma carteira de recarga que financiava incentivos promocionais, não um cofre contendo garantias de traders ou fundos de liquidação de mercado.
Os esforços para congelar ativos produziram resultados parciais. Aproximadamente US$ 164.000 de uma parte de US$ 573.000 foram congelados, o que significa que a maioria dos fundos roubados já havia sido lavada por exchanges e serviços de mistura antes que a intervenção fosse possível.
A chave em si tinha seis anos. Para contexto, seis anos na infraestrutura de criptomoedas são aproximadamente equivalentes a executar o sistema de segurança de um banco no Windows XP. A idade da chave aponta para uma vulnerabilidade comum, mas evitável: organizações superam suas práticas de segurança iniciais, mas esquecem de desativar as credenciais antigas.
A resposta da Polymarket e o que permaneceu seguro
A equipe de desenvolvimento da Polymarket se moveu para reassurar os usuários quase imediatamente, afirmando que os fundos dos usuários, contratos inteligentes e sistemas de negociação não foram afetados. As operações principais da plataforma, incluindo criação de mercados, negociação e liquidação, continuaram sem interrupção.
A violação foi confinada inteiramente à carteira de distribuição de recompensas. Nenhum resultado de mercado foi manipulado. Nenhum saldo de usuário foi alterado.
Essa distinção importa. A Polymarket emergiu como um dos mercados de previsão mais proeminentes em cripto, atraindo atenção significativa durante eventos políticos e grandes ciclos de notícias. Uma violação que realmente comprometesse os fundos dos usuários ou a integridade do mercado seria uma história completamente diferente, uma que poderia minar todo o modelo de confiança dos mercados de previsão descentralizados.
A empresa disse que está realizando uma investigação minuciosa sobre o incidente. Se essa investigação levar à divulgação pública de como a chave foi armazenada, quem tinha acesso e quais políticas de rotação (ou ausência delas) estavam em vigor será algo a ser acompanhado.
Um padrão familiar na segurança de criptomoedas
Esta não é a primeira vez que uma chave de administrador antiga foi o elo mais fraco. A indústria de criptomoedas tem um problema recorrente com infraestrutura legada. Projetos são lançados com uma pequena equipe, geram chaves para várias carteiras operacionais e depois crescem rapidamente sem auditar essas credenciais iniciais.
O vetor de ataque aqui não foi um bug no contrato inteligente, uma exploração de empréstimo flash ou uma manipulação sofisticada de DeFi. Foi uma chave privada que deveria ter sido rotacionada ou desativada há anos. As explorações mais simples são frequentemente as mais danosas precisamente porque são as que ninguém pensa em verificar.
Incidentes semelhantes já atingiram outros projetos no passado. Carteiras quentes, chaves de administrador e endereços de implantação dos primeiros dias de um projeto representam uma superfície persistente para atacantes. Uma vez que uma chave privada é comprometida, seja por phishing, malware ou um insider, não há mecanismo na cadeia para impedir o detentor de executar transações.
Carteiras de assinatura múltipla, módulos de segurança de hardware e rotação regular de chaves são todas mitigações padrão. O fato de que uma chave única, com seis anos de idade, ainda tinha autoridade sobre uma carteira com fundos sugere que pelo menos uma dessas práticas não estava em vigor para este endereço específico.
O que isso significa para investidores e usuários
A questão é esta: a perda de US$ 700.000 é relativamente modesta pelos padrões de explorações em criptomoedas. Mas o dano reputacional pode superar o valor em dólares, especialmente para uma plataforma que depende da confiança dos usuários para funcionar.
Mercados de previsão são intrinsicamente dependentes de confiança. Os usuários estão apostando dinheiro real em resultados e precisam acreditar que a plataforma que gerencia seus fundos e resolve suas apostas é operacionalmente sólida. Mesmo uma violação limitada a uma carteira de recompensas gera dúvidas sobre quais outros sistemas legados podem estar escondidos no fundo.
Para traders que utilizam ativamente a Polymarket, o risco imediato parece contido. Os fundos dos usuários não foram comprometidos, e os contratos inteligentes da plataforma não estiveram envolvidos na exploração. A infraestrutura operacional que lida com depósitos, saques e liquidações de mercados parece ter sido totalmente separada da carteira violada.
A preocupação maior é sistêmica. Se a Polymarket, uma das plataformas de previsão mais conhecidas e bem financiadas, estava usando uma chave com seis anos de idade com acesso ativo aos fundos, como está a higiene de gerenciamento de chaves em projetos menores e com menos recursos? Este incidente deve levar os usuários a fazer perguntas mais difíceis sobre a segurança operacional de qualquer plataforma onde eles depositam fundos, e não apenas sobre os relatórios de auditoria de contratos inteligentes.
Plataformas concorrentes podem usar este momento para se diferenciar por meio de práticas de segurança. Políticas transparentes de rotação de chaves, exigência de assinaturas múltiplas para todas as carteiras operacionais e auditorias de segurança regulares por terceiros podem se tornar requisitos básicos para plataformas que buscam atrair volume significativo. Em um mercado onde a confiança é o produto, a plataforma que conseguir demonstrar credivelmente a segurança operacional mais rigorosa terá uma vantagem significativa.
Por enquanto, o congelamento parcial de US$ 164.000 significa que a grande maioria dos fundos roubados provavelmente não poderá ser recuperada. Os fundos que passaram por mixers e exchanges são, para todos os efeitos práticos, perdidos. Se as autoridades ou a forense on-chain conseguirem rastrear os fundos restantes até uma parte identificável permanece uma questão em aberto, mas as probabilidades diminuem a cada transferência por um serviço de mistura.