Polymarket na véspera do Natal revelou roubo de fundos, a vulnerabilidade originou-se de um serviço de carteira de terceiros, Magic Labs, destacando o risco de ponto único por trás da conveniência do Web3.
(Resumindo: O líder do mercado de previsões Polymarket anunciou a construção de uma L2 própria, a carta de Polygon acabou?)
(Complemento de contexto: Como obter um retorno anual de 40% através de arbitragem na Polymarket?)
O líder de mercado de previsões de Criptomoedas, Polymarket, reportou roubo de fundos, com vários utilizadores a manifestarem raiva às 00h de 24 de dezembro no X e Reddit, dizendo que as suas “contas foram esvaziadas”.
A plataforma imediatamente admitiu uma vulnerabilidade de segurança no Discord oficial, apontando para um “provedor de serviços de terceiros”. A ferramenta de rastreamento na blockchain Lookonchain posteriormente identificou o fornecedor de carteiras Magic Labs, tornando este incidente uma das maiores brechas de segurança no mercado de Criptomoedas até o final de 2025.
A equipa oficial afirmou que a vulnerabilidade foi corrigida, mas ainda há preocupações
Menos de uma hora após a denúncia dos utilizadores, a Polymarket publicou um aviso:
Detectámos uma vulnerabilidade relacionada a um fornecedor de serviços de terceiros, que já foi resolvida. Os utilizadores afetados representam uma minoria, e entraremos em contacto com eles de forma proativa.
O aviso não revelou o valor das perdas nem o número de vítimas, mas gerou maior pânico. Com base no volume de negócios mensal da Polymarket em 2025, estimado em dezenas de bilhões de dólares, mesmo uma “minoria” pode representar perdas elevadas.
Ao contrário de ataques de phishing comuns, no momento do incidente não circulavam links suspeitos, e muitos utilizadores até ativaram a autenticação de dois fatores (2FA). A vulnerabilidade não estava no cliente, mas na autenticação de terceiros no backend.
A vulnerabilidade na autenticação do Magic Labs tornou-se uma brecha
Para reduzir a barreira de entrada, a Polymarket integrou o sistema “Email de uma só clique para gerar uma carteira não custodial” do Magic Labs. Os utilizadores não precisam guardar a frase-semente, apenas enviar o código de verificação para operar ativos na Ethereum. No entanto, os atacantes exploraram uma falha no sistema de autenticação do Magic Labs para obter controlo das carteiras, tornando a 2FA ineficaz.
Atualmente, os fluxos na blockchain mostram que os hackers dividiram os ativos em pouco tempo e usaram múltiplas camadas de mistura de fundos para dificultar a rastreabilidade. Apesar de a equipa oficial afirmar que a vulnerabilidade foi “corrigida”, ainda não responderam ao pedido da comunidade por um relatório completo pós-incidente.
Ao mesmo tempo, a empresa de segurança SlowMist alertou para a presença de bots maliciosos no GitHub, que imitam a Polymarket, destinados a jogadores avançados que usam scripts de negociação personalizados. Esses programas leem ficheiros de configuração locais e secretamente enviam chaves privadas, embora não estejam diretamente relacionados à vulnerabilidade do Magic Labs, ambos ocorreram no mesmo dia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
