24 de dezembro de 2025 – Polymarket, uma plataforma descentralizada de mercado de previsões, confirmou que uma vulnerabilidade de segurança em um provedor de autenticação de terceiros levou ao acesso não autorizado e à transferência de fundos das contas dos usuários. A violação afetou principalmente os usuários que se cadastraram via Magic Labs, um serviço que oferece a criação de carteira com um clique por e-mail para contas Ethereum.
Vários usuários relataram drenagens súbitas de saldo, apesar de terem ativado a autenticação de dois fatores em suas contas de e-mail. A análise de transações on-chain revelou que os atacantes exploraram a falha de autenticação para contornar os controles de login, efetuando chamadas de contrato inteligente que moveram Ether e tokens ERC-20 para endereços sob o controle dos atacantes.
A equipe de engenharia da Polymarket identificou a causa raiz na camada de integração do Magic Labs e implementou um patch no dia 23 de dezembro. Em um anúncio oficial no Discord, a empresa afirmou que a vulnerabilidade foi contida e não foram detectados novos incidentes. A Polymarket não divulgou o número total de contas afetadas nem o volume de ativos comprometidos, mas enfatizou que o protocolo central de negociação e os contratos inteligentes permanecem seguros.
A plataforma planeja migrar para sua própria rede Ethereum Layer 2, POLY, e descontinuar o serviço de login de terceiros para eliminar dependências semelhantes. Usuários impactados receberão comunicação direta descrevendo opções de recuperação, embora a Polymarket tenha evitado comprometer-se com a compensação por perdas.
Especialistas da indústria destacam o incidente como um alerta sobre os riscos de terceirizar mecanismos de autenticação críticos. À medida que projetos Web3 dependem cada vez mais de SDKs externos para a integração de usuários, auditorias de segurança rigorosas e controles de contingência são essenciais para prevenir vulnerabilidades sistêmicas.
– CryptoReporter.
Comentários (0)