Incidente de Segurança na Polymarket: Vulnerabilidade de Fornecedor Externo Expõe Contas de Utilizadores

A Ferramenta de Autenticação de Terceiros que Abriu as Portas aos Hackers

A plataforma Polymarket, dedicada a mercados de previsão, confirmou em 24 de dezembro de 2025 uma vulnerabilidade de segurança num serviço externo de autenticação, que permitiu a atacantes aceder e esvaziar contas de utilizadores. Esta violação representa uma exposição crítica no panorama dos riscos de segurança dos mercados de previsão, afetando utilizadores que optaram pelo início de sessão por e-mail em vez de ligações diretas a carteiras. O incidente evidencia uma vulnerabilidade estrutural nas plataformas de finanças descentralizadas que recorrem a autenticação de terceiros sem protocolos de isolamento adequados.

O sistema de autenticação comprometido, amplamente apontado pelos utilizadores afetados como sendo o da Magic Labs, processa inícios de sessão via “magic link” por e-mail e gera carteiras Ethereum não custodiais. Utilizadores que criaram contas através deste serviço detetaram várias tentativas de acesso não autorizado, seguidas do esvaziamento total dos ativos das suas contas. Diversos utilizadores relataram ter recebido notificações de tentativa de início de sessão nas redes sociais antes de verificarem que os saldos em USDC tinham sido reduzidos a valores residuais. A vulnerabilidade manteve-se ativa o tempo suficiente para que os atacantes identificassem e explorassem sistematicamente contas afetadas em toda a plataforma. O protocolo central da Polymarket permaneceu seguro durante todo o incidente, tendo a violação ficado circunscrita à camada de autenticação de terceiros. Esta distinção é essencial para compreender as vulnerabilidades das plataformas de mercados de previsão, ao demonstrar que mesmo sistemas descentralizados podem sofrer quebras de segurança graves devido a dependências centralizadas. Os padrões de ataque foram consistentes entre os utilizadores afetados, todos originando do mesmo percurso de autenticação, permitindo aos investigadores de segurança e à plataforma identificar rapidamente o vetor de ataque.

Como os Atacantes Tiraram Partido da Vulnerabilidade da Polymarket para Esvaziar Contas de Utilizadores

Os atacantes exploraram a vulnerabilidade de autenticação de terceiros através de um processo multi-fásico, contornando os mecanismos de segurança habituais. A falha no sistema de início de sessão por e-mail permitiu aos agentes maliciosos aceder a contas sem ativar mecanismos de deteção de fraude eficazes. Os utilizadores relataram notificações sequenciais de tentativas de início de sessão, sugerindo que os atacantes recorreram ao comprometimento de credenciais ou à interceção de tokens de autenticação para obter o acesso inicial. Após o acesso não autorizado, os atacantes realizaram transferências de ativos sem obstáculos de relevo, esvaziando os saldos em USDC diretamente das carteiras associadas às contas Polymarket dos utilizadores.

O modo técnico deste ataque expôs fragilidades críticas na implementação da autenticação de terceiros pela Polymarket. O sistema de “magic link”, desenhado para conveniência e acessibilidade, criou um canal para contornar a autenticação multi-fator em certas configurações. Um utilizador afetado documentou a receção de notificações de autenticação de dois fatores por e-mail durante o ataque, indiciando que os atacantes detinham privilégios suficientes para ultrapassar as camadas de verificação. Os fundos foram movimentados por múltiplos endereços de criptomoeda em rápida sucessão, sendo que a análise on-chain demonstrou que os ativos roubados foram imediatamente dispersos e branqueados por várias carteiras, ocultando a sua origem. A rapidez destas operações—concretizadas em minutos após o compromisso da conta—mostra que o ataque foi automatizado e pré-definido, e não resultado de transferências manuais. Este grau de sofisticação revela uma campanha organizada, focada em vulnerabilidades de plataformas de mercados de previsão, e não em simples tomadas de controlo oportunistas de contas. A ausência de pedidos de aprovação explícita para transferências demonstra que a vulnerabilidade de autenticação permitiu acesso total à conta, facultando aos atacantes a execução de transações como se fossem titulares legítimos. A investigação da Polymarket confirmou que a origem da vulnerabilidade estava exclusivamente na infraestrutura do fornecedor de autenticação de terceiros, sem ligação ao sistema central da plataforma ou à lógica dos contratos.

Falhas Críticas de Segurança: O que Correu Mal e o que os Utilizadores Não Viram

Uma conjugação de falhas de segurança permitiu que este incidente tivesse impacto nas contas dos utilizadores. A Polymarket não implementou monitorização e segmentação adequadas dos serviços de autenticação de terceiros, permitindo que a vulnerabilidade se mantivesse explorável durante demasiado tempo. A plataforma não criou isolamento suficiente entre o sistema de autenticação e o mecanismo de transferência de ativos, levando a que a violação de uma camada expusesse diretamente os fundos dos utilizadores. Além disso, os protocolos de resposta a incidentes da Polymarket apresentavam lacunas na notificação de utilizadores, nos procedimentos de recuperação de contas e nos mecanismos de compensação durante o evento de segurança.

Os próprios utilizadores falharam em reconhecer sinais de alerta que poderiam ter prevenido ou limitado as perdas. Vários admitiram terem recebido notificações de tentativas de início de sessão sem alterarem de imediato as credenciais ou reforçarem as medidas de segurança. Alguns confiaram apenas na autenticação de dois fatores via e-mail, sem perceber que este mecanismo pode ser contornado com o compromisso do serviço de autenticação. Ao criar contas através de serviços de terceiros sem controlo direto da carteira, aceitaram riscos desnecessários de custódia associados ao acesso por e-mail. A recomendação, frequentemente reiterada pela comunidade, de usar ligações diretas a carteiras físicas ou soluções de custódia reconhecidas foi negligenciada pelos utilizadores afetados, que priorizaram a conveniência em detrimento da segurança. Muitos operadores nestas plataformas atuam com frequência e multiplicidade de contas, por vezes ignorando as implicações de segurança dos métodos de autenticação escolhidos. Este incidente demonstra que até investidores experientes em cripto podem descurar princípios elementares de segurança ao privilegiar a atividade de trading em vez da proteção das respetivas contas.

Ações Imediatas para Proteger os Seus Criptoativos em Mercados de Previsão

Os investidores que operam atualmente em mercados de previsão devem adotar medidas imediatas para proteger os seus criptoativos e evitar acessos não autorizados. O primeiro passo essencial é abandonar por completo métodos de autenticação baseados em e-mail. Se tem contas em plataformas deste género, privilegie ligações diretas a carteiras, usando hardware wallets como Ledger ou Trezor, evitando recorrer a serviços de autenticação intermediários. Estas ligações diretas eliminam a superfície de ataque oferecida por fornecedores de autenticação de terceiros. Caso não lhe seja possível migrar imediatamente de contas baseadas em e-mail, ative todas as opções de segurança disponíveis, incluindo autenticação de dois fatores através de aplicações autenticadoras, em vez de SMS ou do próprio e-mail, já que a autenticação de dois fatores por e-mail pode ser contornada pelas mesmas vulnerabilidades que deram origem a este incidente.

Realize uma auditoria detalhada à atividade das suas contas de trading em todas as plataformas de mercados de previsão, monitorizando transações não autorizadas, posições encerradas ou movimentos de ativos não iniciados por si. Consulte o histórico de transações e confirme que cada operação, depósito e levantamento corresponde à sua ação direta. Se identificar atividade não autorizada, contacte de imediato a equipa de segurança da plataforma e guarde todos os registos para eventual recuperação ou reporte regulatório. Aplique restrições geográficas ou de endereço IP às suas contas sempre que possível, bloqueando o acesso de atacantes de outras localizações mesmo que estes disponham de credenciais válidas. Para contas com saldos elevados, transfira a maioria dos ativos para cold storage ou soluções de custódia própria entre sessões de trading, usando as plataformas apenas com o capital necessário para a atividade corrente. Polymarket e outras plataformas do género devem ser vistas como interfaces de negociação, não como depósitos de ativos. Reveja regularmente os métodos e credenciais de autenticação, alterando passwords a cada três meses e sempre que ocorra um incidente de segurança relevante, como o registado em 24 de dezembro de 2025. Ative sistemas de alerta no seu fornecedor de e-mail para ser notificado de acessos ou tentativas de recuperação de conta, reforçando a visibilidade sobre possíveis tentativas de ataque. Utilize endereços de e-mail exclusivos para contas de plataformas cripto, distintos do e-mail principal, reduzindo o impacto caso a conta seja comprometida. Se utilizar serviços como Gate para trading ou gestão de contas, assegure que as integrações recorrem aos métodos de autenticação mais robustos e garantem total transparência na gestão de dados. Esteja atento a redes sociais, fóruns e comunicados oficiais das plataformas para atualizações de segurança ou divulgação de vulnerabilidades, já que a informação atempada sobre falhas pode ser determinante para a proteção das suas contas e ativos.