Uma plataforma descentralizada de mercados de previsão, a Polymarket, confirmou a 25 de dezembro que os fundos de alguns utilizadores foram roubados e os seus saldos de conta eliminados devido a uma vulnerabilidade de segurança num fornecedor externo de autenticação. Os utilizadores afetados registaram-se maioritariamente através da Magic Labs, um serviço que permite iniciar sessão com o endereço de e-mail e cria automaticamente uma carteira Ethereum não custodial.
Esta vulnerabilidade contornou medidas de segurança padrão, como a autenticação de dois fatores, gerando preocupações generalizadas no mercado quanto à segurança das integrações de terceiros nas plataformas cripto.
01 Visão Geral do Incidente: Riscos de Ativos Expostos por Vulnerabilidades de Terceiros
O roubo de ativos sofrido pelos utilizadores da Polymarket não teve origem numa vulnerabilidade nos contratos inteligentes centrais da plataforma. Resultou, sim, de uma falha de segurança num fornecedor externo de autenticação em que a plataforma confia.
No seu canal oficial do Discord, a plataforma afirmou: "Descobrimos e resolvemos recentemente um problema de segurança que afetou um pequeno número de utilizadores, causado por uma vulnerabilidade num fornecedor externo de autenticação."
Apesar de a plataforma garantir que o problema está resolvido e que não existe risco contínuo, o número exato de utilizadores afetados e o montante total perdido não foram divulgados. Esta ausência de informação gerou preocupação generalizada na comunidade quanto à verdadeira dimensão e gravidade do incidente.
02 Processo de Ataque: Reconstrução de Casos Típicos de Utilizadores
Segundo relatos de utilizadores nas redes sociais, este incidente de segurança apresentou padrões bem definidos.
Um utilizador do Reddit descreveu a sua experiência: "Acordei esta manhã com três notificações de tentativas de login na Polymarket — o meu dispositivo não foi comprometido, o Google não detetou qualquer atividade suspeita e todos os meus outros serviços estão normais."
No entanto, ao aceder à Polymarket, verificou que todas as suas negociações tinham sido encerradas e o saldo da conta era apenas 0,01 $. Isto significava que a sua carteira tinha sido praticamente esvaziada.
Outro utilizador relatou uma experiência semelhante. Mesmo sem ter clicado em links suspeitos e com a autenticação de dois fatores ativada no e-mail, não conseguiu impedir que os atacantes esvaziassem a conta após receber três notificações de tentativas de login.
03 Utilizadores Afetados: Registos via Magic Labs como Alvo
As vítimas deste incidente de segurança partilhavam uma característica comum: a maioria tinha registado a conta Polymarket através da Magic Labs.
A Magic Labs é um serviço externo de login concebido para quem está a iniciar-se no universo cripto. Permite iniciar sessão apenas com o endereço de e-mail, e o sistema gera automaticamente uma carteira Ethereum não custodial em segundo plano. Embora este modelo reduza significativamente a barreira de entrada no setor cripto, introduz também novos vetores de ataque.
Os atacantes parecem ter conseguido contornar a autenticação multifatorial, em vez de recorrer a phishing tradicional ou malware para comprometer os dispositivos dos utilizadores. Isto suscitou preocupações sérias sobre o risco de os serviços externos de autenticação se tornarem pontos únicos de falha.
04 Resposta da Plataforma: Falta de Transparência Gera Mais Dúvidas
A resposta da Polymarket ao incidente revelou uma clara tendência para reter informação, o que gerou mais dúvidas do que esclarecimentos.
Em primeiro lugar, a plataforma referiu vagamente que apenas "um pequeno número de utilizadores" foi afetado, sem apresentar números ou percentagens concretas. Em segundo lugar, não divulgou o montante total roubado, impossibilitando a comunidade de avaliar a gravidade do evento. Por fim, a Polymarket não identificou explicitamente o fornecedor externo envolvido, embora a comunidade suspeite amplamente da Magic Labs.
No plano técnico, a Polymarket afirmou que o problema foi "resolvido", mas não explicou que correções específicas foram implementadas.
Alguns membros da comunidade notaram que, após o incidente, a Polymarket parece ter aumentado o comprimento da palavra-passe única de três para seis dígitos, mas a empresa não comentou publicamente esta alteração.
05 Lições de Segurança: Riscos Sistémicos das Integrações de Terceiros
Não é a primeira vez que a Polymarket enfrenta um incidente de segurança devido a serviços de terceiros. Em setembro de 2024, vários utilizadores que iniciaram sessão via contas Google relataram que os seus fundos em USDC foram transferidos para endereços de phishing.
No mês passado, uma campanha de phishing que explorava a secção de comentários da plataforma provocou perdas superiores a 500 000 $. Estes incidentes evidenciam um desafio recorrente para as plataformas cripto: mesmo que os contratos inteligentes centrais sejam seguros, a dependência de serviços externos pode criar vulnerabilidades de segurança.
Analistas do setor sublinham que, quando os utilizadores dependem de infraestruturas de autenticação unificadas não controladas diretamente pela plataforma central, os sistemas integrados tornam-se especialmente vulneráveis a ataques.
06 Ações dos Utilizadores: Recomendações Práticas para Proteção de Ativos
Para os utilizadores de criptomoedas, o incidente da Polymarket traz lições de segurança relevantes.
O conselho mais direto é evitar opções de login de terceiros e, em alternativa, conectar-se às plataformas com carteiras em que controlem as chaves privadas. Embora isto aumente a barreira de entrada, continua a ser a forma mais segura de proteger os ativos até que as plataformas consigam integrar serviços externos de forma segura.
Os utilizadores devem rever regularmente a atividade das suas contas, ativar todas as funcionalidades de segurança disponíveis e estar atentos a tentativas de login invulgares. Distribuir ativos por várias plataformas, em vez de concentrar fundos num único local, é também uma estratégia sensata de mitigação de risco.
Com a Polymarket a planear migrar de Polygon e lançar a sua própria rede Ethereum Layer 2, os utilizadores devem redobrar a atenção à segurança dos ativos durante a transição.
Perspetivas Futuras
A 25 de dezembro, o volume total de negociação da Polymarket atingia 1,538 mil milhões $, com 419 309 utilizadores ativos mensais. Quando os utilizadores acordam e encontram apenas 0,01 $ nas suas contas, o incidente deixa de ser uma mera falha técnica — torna-se um teste sério à arquitetura de segurança de todo o ecossistema cripto.
A segurança dos fundos dos utilizadores permanece o pilar das operações da Gate. À medida que o setor cripto enfrenta desafios de segurança cada vez mais complexos, a Gate continua a reforçar a sua infraestrutura de segurança e a oferecer múltiplas camadas de proteção de ativos aos utilizadores.
