A Polymarket, considerada a maior plataforma mundial de mercados de previsão (prediction markets), confirmou um novo incidente de cibersegurança a 25 de junho de 2026: atacantes injetaram código malicioso no site da plataforma através do comprometimento de um fornecedor terceirizado, conseguindo desviar fundos de utilizadores. A empresa garantiu que está a reembolsar integralmente os afetados e que a infraestrutura principal da plataforma não foi comprometida.
O que aconteceu
Segundo a Polymarket, o ataque resultou de uma violação num fornecedor terceirizado cujas credenciais ou sistemas foram comprometidos, permitindo a injeção de código malicioso no site da plataforma. O código afetou um grupo específico de utilizadores, permitindo o desvio de fundos em criptomoedas no valor de aproximadamente 700 mil dólares. A empresa afirmou ter contido o incidente e estar em contacto direto com os utilizadores afetados para proceder ao reembolso integral.
O incidente segue um padrão idêntico ao de maio de 2026, quando o investigador de blockchain ZachXBT identificou movimentações suspeitas associadas ao contrato UMA CTF Adapter da Polymarket na rede Polygon, resultando no roubo de cerca de 660 mil dólares por comprometimento de uma chave privada interna. As investigações desse incidente apontaram para o uso de credenciais antigas ainda válidas em componentes que recebiam menos auditorias — um vetor de ataque recorrente em plataformas descentralizadas.
Contexto mais amplo
A semana foi particularmente difícil para a Polymarket: antes do incidente de segurança, a plataforma já enfrentava críticas depois de a TechCrunch ter revelado que a empresa pagou criadores de conteúdo para publicar vídeos enganosos, simulando ganhos em apostas que eram, na realidade, falsos. A Polymarket anunciou a realização de uma auditoria aos seus conteúdos promocionais em resposta a essa denúncia.
Porque é que isto importa
O caso Polymarket ilustra dois vetores de risco que afetam crescentemente as plataformas de criptoativos e finanças descentralizadas: o comprometimento de fornecedores terceiros (supply chain attack) e a gestão deficiente de credenciais e chaves privadas. A União Europeia aprovou recentemente o euro digital, o que aumenta o escrutínio sobre a segurança das plataformas que operam com ativos digitais no espaço europeu. Para os utilizadores portugueses destas plataformas, a regra mantém-se: nunca deixar fundos significativos em plataformas de custódia terceira sem avaliar o historial de segurança e as garantias oferecidas.
Esta informação tem carácter noticioso e baseia-se em dados divulgados publicamente pela Polymarket, Poder360, ZachXBT e Cryptopolitan.