Polymarket admite que os fundos dos usuários foram roubados e que os serviços de terceiros de “login com um clique” se tornaram uma vulnerabilidade

A Polymarket informou que fundos foram roubados na véspera de Natal. A vulnerabilidade originou-se do serviço de carteira terceirizado Magic Labs, destacando o único ponto de risco por trás da conveniência do Web3.
(Informações preliminares: Polymarket, líder no mercado de previsão, anunciou que construirá seu próprio L2. O trunfo do Polygon desapareceu? )
(Suplemento de base: Como obter 40% de renda anualizada por meio da arbitragem do Polymarket?)

Polymarket, líder no mercado de previsão de criptografia, relatou que fundos foram roubados, e muitos usuários ficaram furiosos no X e no Reddit no início da manhã de 24 de dezembro que “o saldo da conta foi esvaziado”.

A plataforma admitiu imediatamente a falha de segurança no Discord oficial e apontou-a para um “provedor de serviços terceirizado”. A ferramenta de rastreamento on-chain Lookonchain posteriormente teve como alvo o provedor de serviços de carteira Magic Labs, tornando esse incidente a violação de segurança de maior destaque no mercado de criptografia no final de 2025.

Disse oficialmente que foi corrigido, mas algumas pessoas ainda estão preocupadas

Menos de uma hora depois que o usuário deu a notícia, a Polymarket emitiu um anúncio:

Encontramos uma vulnerabilidade relacionada a um provedor de serviços terceirizado, que foi corrigida. Apenas um número muito pequeno de usuários será afetado e entraremos em contato com esses usuários de forma proativa.

O anúncio não divulgou o valor das perdas nem o número de vítimas, mas causou maior pânico. De acordo com o volume de transações mensais da plataforma Polymarket em 2025, estima-se que serão bilhões de dólares todos os meses. Mesmo um “número muito pequeno” pode resultar em perdas elevadas.

Ao contrário dos ataques de phishing comuns, nenhum link suspeito circulava no momento do incidente e muitas vítimas até ativaram o 2FA por e-mail. A chave para contornar a linha de defesa não está no lado do usuário, mas na autenticação de terceiros em segundo plano.

O mecanismo de login do Magic Labs se tornou uma brecha

Para reduzir o limite, a Polymarket introduziu a “geração de carteira sem custódia por e-mail com um clique” do Magic Labs. Os usuários não precisam manter as palavras mnemônicas e podem operar ativos Ethereum enviando códigos de verificação. No entanto, o invasor explora diretamente a vulnerabilidade do sistema na camada de autenticação do Magic Labs para obter o controle da carteira, e 2FA é equivalente a inválido.

O fluxo atual na cadeia mostra que o endereço do hacker dividiu os ativos em um curto período de tempo e misturou as moedas em múltiplas camadas, tornando mais difícil o rastreamento. Embora o funcionário tenha dito que “foi reparado”, ainda não respondeu ao pedido da comunidade para um relatório pós-incidente completo.

Ao mesmo tempo, a empresa de segurança SlowMist alertou o GitHub sobre o surgimento de robôs copiadores maliciosos da Polymarket, visando especificamente jogadores avançados que constroem seus próprios scripts de negociação. Este programa lê o arquivo de configuração local e envia secretamente a chave privada. Embora não esteja diretamente relacionado à vulnerabilidade do Magic Labs, ela estourou no mesmo dia.