- O hackeamento de contas de usuários da Polymarket foi rastreado até um serviço de autenticação de terceiros, e não a falhas no protocolo.
- O onboarding de carteiras via e-mail permitiu o esvaziamento de contas sem exploração de contratos inteligentes.
- O incidente destaca o risco sistêmico do Web3, já que serviços de login de terceiros tornam-se pontos de falha.
A Polymarket informou que atacantes esvaziaram um número limitado de contas de usuários após explorarem uma falha em um serviço de login de terceiros. Usuários relataram perdas súbitas de saldo e posições encerradas após múltiplos logins. A Polymarket confirmou o incidente em 24 de dezembro de 2025 e afirmou ter corrigido o problema.
Relatos surgiram em 22 e 23 de dezembro de 2025, no X, Reddit e Discord. Um usuário do Reddit relatou três tentativas de login, seguidas de um saldo de $0,01. Outro usuário relatou situações semelhantes e disse que a autenticação de dois fatores por e-mail não impediu o esvaziamento.
A autenticação de terceiros torna o onboarding um ponto fraco compartilhado
A Polymarket afirmou que um provedor de autenticação de terceiros introduziu a vulnerabilidade. A empresa publicou em seu canal oficial do Discord que identificou e resolveu o problema. A Polymarket descreveu o incidente como afetando um pequeno número de usuários.
A Polymarket não nomeou o provedor de terceiros nem divulgou o total roubado. No entanto, a plataforma afirmou que seu protocolo central permaneceu seguro, e o problema ficou restrito à autenticação. Também informou que a correção eliminou o risco contínuo e que entraria em contato com os usuários afetados.
Essa abordagem desvia a atenção da mecânica de mercado e a direciona para a pilha de onboarding de cripto. Muitas plataformas dependem de serviços externos de identidade, carteira e login para inscrições mais rápidas. Consequentemente, uma fraqueza em um provedor pode expor usuários em vários aplicativos.
Logins de carteira por e-mail aumentam riscos em relação ao acesso a carteiras embutidas
Publicações de usuários sugeriram que muitas contas afetadas usavam acesso por “magic link” via e-mail em vez de conexões diretas de carteira. Vários relatos apontaram a Magic Labs como uma rota comum de cadastro, embora a Polymarket não tenha confirmado essa ligação. Usuários também disseram que não clicaram em links suspeitos antes dos esvaziamentos.
Provedores de carteira baseados em e-mail frequentemente criam carteiras Ethereum não-custodiais durante o cadastro. Essa configuração atrai usuários de cripto de primeira viagem que não gerenciam extensões ou frases-semente. No entanto, o provedor ainda controla partes-chave do fluxo de login e recuperação.
Usuários da Polymarket relataram saldos de USDC sendo esvaziados sem sinais claros de aprovação. Os relatos também descreveram posições sendo encerradas rapidamente após o acesso não autorizado. Como resultado, o incidente destaca como a segurança das contas pode falhar acima da camada de contratos inteligentes.
Relacionado: Polymarket lidera protocolos de cripto em taxa de retenção de usuários
Incidentes anteriores da Polymarket mostram pressão sobre a camada de acesso
Essa violação ecoa relatos anteriores de usuários de setembro de 2024 envolvendo logins baseados no Google. Usuários descreveram esvaziamentos de carteiras em que atacantes usaram chamadas de função “proxy”. Segundo relatos, essas chamadas transferiram fundos USDC para endereços de phishing.
Na época, a Polymarket tratou os eventos como possíveis explorações direcionadas ligadas à autenticação de terceiros. Esse histórico é relevante porque aponta para o mesmo risco estrutural. Sistemas de autenticação e sessão podem se tornar alvos de alto impacto.
Uma ameaça separada surgiu em novembro de 2025, quando golpistas exploraram as seções de comentários da Polymarket. Usuários relataram perdas superiores a $500.000 após atacantes postarem links disfarçados. Esses links direcionaram as vítimas para páginas fraudulentas que capturaram logins de e-mail.
O incidente de dezembro de 2025 novamente se concentra no risco de integração, não em falhas de liquidação. A Polymarket não divulgou um relatório técnico pós-incidente nem uma linha do tempo completa do ocorrido. Também não informou se irá reembolsar os usuários pelas perdas.
Enquanto isso, usuários têm comparado métodos de login e compartilhado endereços de carteira em tópicos públicos. Alguns usuários migraram para conexões diretas de carteira para saldos mais altos. O episódio reforça uma conclusão mais ampla para o onboarding de cripto: trilhos de identidade e carteira de terceiros agora estão no caminho crítico, podendo se tornar o ponto mais frágil do ecossistema.
