A Polymarket confirmou que invasores roubaram US$ 2,94 milhões de usuários após injetar código malicioso em seu frontend por meio de um fornecedor terceirizado comprometido. Pelo menos 11 carteiras foram drenadas de stablecoins PUSD, convertidas em 1.893 ETH e consolidadas em um endereço controlado pelo atacante. A plataforma removeu a dependência afetada e prometeu reembolso integral.
Ataque pela cadeia de fornecedores
O fornecedor comprometido — ainda não identificado publicamente — mantinha acesso direto ao frontend da Polymarket. Ao ser invadido, o atacante modificou o código servido aos usuários para incluir um script malicioso que interceptava interações com carteiras Web3, redirecionando aprovações de tokens para o endereço controlado pelo invasor. A plataforma declarou que conteve o incidente, removeu a dependência afetada e está reembolsando integralmente os usuários atingidos.
Cronologia do incidente
- 25/06/2026 (manhã): Polymarket detecta comportamento anormal — scripts de terceiros injetados no frontend de alguns usuários.
- 25/06/2026: Pesquisador Specter identifica campanha de phishing drenando carteiras PUSD e estima perdas de US$ 2,94M.
- 25/06/2026: PeckShield confirma conversão para 1.893 ETH e rastrea fundos de Polygon para Ethereum.
- 25/06/2026: Polymarket confirma comprometimento de fornecedor terceiro, remove dependência e anuncia reembolso total.
- 26/06/2026: GoPlus Security classifica o incidente como ataque de cadeia de suprimentos afetando aproximadamente 15 contas.
Mecanismo do ataque
O método utilizado é uma variação de supply chain attack que se torna especialmente perigosa em contextos DeFi. O código malicioso não precisa quebrar a blockchain nem comprometer smart contracts — basta manipular a interface entre o usuário e a rede, explorando a confiança implícita que usuários depositam no frontend de uma plataforma conhecida.
Quando um usuário afetado executava uma transação, o script injetado redirecionava a aprovação de tokens ERC-20 para o endereço controlado pelo atacante. Essa técnica, conhecida como approval phishing, é comum em ecossistemas Web3: o atacante não rouba tokens diretamente, mas obtém permissão para transferi-los posteriormente. Os fundos drenados — stablecoins PUSD na Polygon — foram imediatamente convertidos em ETH e transferidos para Ethereum, dificultando rastreamento e recuperação.
A PeckShield confirmou que aproximadamente 1.893 ETH foram consolidados em um único endereço. A GoPlus Security estimou que cerca de 15 contas de usuários foram afetadas, com perdas totais superiores a US$ 3 milhões. A velocidade da conversão — Polygon para Ethereum via bridge, seguida de swap em DEX — sugere automação, típica de operações estruturadas de criptofurto.
Riscos de cadeia de suprimentos
O incidente da Polymarket se soma a uma sequência de ataques via terceiros observados em 2026, incluindo o caso da ShapedPlugin (backdoor em plugins WordPress) e o vazamento de dados da Tata Electronics (630 GB expostos). Black Kite registrou aumento de 55% nos incidentes ransomware na Europa nos primeiros quatro meses de 2026, com cadeias de suprimentos como principal ponto de entrada. A média de espera para notificação de breach de fornecedor caiu para 117 dias — um intervalo que permite aos atacantes explorar a posição conquistada com folga.
Em plataformas DeFi, o risco é amplificado: a dependência de scripts de terceiro no frontend — SDKs de carteira, analytics, widgets de chat — cria superfícies de ataque onde o usuário não tem controle. A confiança na infraestrutura da plataforma mascara o fato de que qualquer dependência maliciosa pode interceptar operações financeiras antes que cheguem à blockchain.
| Incidente | Vetor | Impacto |
|---|---|---|
| Polymarket (jun/2026) | Fornecedor terceiro | US$ 2,94M em cripto |
| ShapedPlugin (jun/2026) | Plugin WordPress | Backdoor em atualizações |
| Tata Electronics (jun/2026) | Vazamento de dados | 630 GB de dados |
Proteção em plataformas Web3
- Revise periodicamente dependências de frontend — cada script de terceiro é uma superfície de ataque.
- Implemente Content Security Policy (CSP) restritiva para impedir execução de scripts não autorizados.
- Use Subresource Integrity (SRI) em todas as dependências JavaScript externas para detectar modificações.
- Monitore approve e transfer events em blockchain para detectar drenagem ativa de tokens.
- Segregue acesso de fornecedores: use sandboxing e permissões mínimas para dependências de terceiro.