A conta Polymarket é drenada: risco de login de terceiros no Spotlight

Fonte: CryptoTale Título Original: Polymarket Account Drains Spotlight Third-Party Login Risk Link Original: https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• Hack de conta de utilizador Polymarket rastreado até autenticação de terceiros, não falhas no protocolo.
• Início de sessão via carteira por email permitiu drenagens de contas sem exploits em smart contracts.
• Incidente destaca risco sistémico no Web3 à medida que serviços de login de terceiros se tornam pontos de falha.

A Polymarket afirmou que os atacantes drenaram um número limitado de contas de utilizador após explorar uma falha num serviço de login de terceiros. Os utilizadores descreveram perdas súbitas de saldo e posições fechadas após múltiplos alertas de login. A Polymarket confirmou o incidente em 24 de dezembro de 2025 e afirmou que resolveu o problema.

Relatórios surgiram em 22 e 23 de dezembro de 2025, em várias plataformas de redes sociais. Um utilizador relatou três tentativas de login, seguidas de um saldo de $0.01. Outro utilizador relatou alertas semelhantes e disse que a autenticação de dois fatores por email não impediu a drenagem.

Autenticação de terceiros torna a integração um ponto fraco comum

A Polymarket afirmou que um fornecedor de autenticação de terceiros introduziu a vulnerabilidade. A empresa publicou no seu canal oficial do Discord que identificou o problema e resolveu-o. A Polymarket descreveu o incidente como afetando um pequeno número de utilizadores.

A Polymarket não nomeou o fornecedor de terceiros nem divulgou os totais roubados. No entanto, a plataforma afirmou que o seu protocolo principal permaneceu seguro, e que o problema ficou limitado à autenticação. Também disse que a correção eliminou o risco contínuo, e que contactaria os utilizadores afetados.

Esta abordagem desvia a atenção dos mecanismos de mercado e foca na pilha de onboarding de criptomoedas. Muitas plataformas dependem de serviços externos de identidade, carteira e login para inscrições mais rápidas. Consequentemente, uma fraqueza num fornecedor pode expor utilizadores em várias aplicações.

Logins de carteira por email aumentam riscos relacionados ao acesso embutido

Publicações de utilizadores sugeriram que muitas contas afetadas usaram acesso por “link mágico” via email, em vez de ligações diretas às carteiras. Vários relatos apontaram a Magic Labs como uma rota comum de inscrição, embora a Polymarket não tenha confirmado essa ligação. Os utilizadores também disseram que não clicaram em links suspeitos antes das drenagens.

Provedores de carteiras por email frequentemente criam carteiras Ethereum não custodiais durante a inscrição. Essa configuração atrai utilizadores de primeira viagem em cripto que não gerenciam extensões ou frases-semente. No entanto, o provedor ainda controla partes essenciais do fluxo de login e recuperação.

Utilizadores da Polymarket descreveram drenagens de saldos USDC sem sinais claros de aprovação. Os relatos também mencionaram o encerramento rápido de posições após o acesso não autorizado. Como resultado, o incidente destaca como a segurança da conta pode falhar acima da camada de smart contracts.

Incidentes anteriores da Polymarket mostram pressão na camada de acesso

Este incidente ecoa relatos anteriores de setembro de 2024 envolvendo logins baseados no Google. Utilizadores descreveram drenagens de carteiras onde atacantes usaram chamadas de função “proxy”. Essas chamadas moveram fundos USDC para endereços de phishing, segundo relatos de utilizadores.

Na altura, a Polymarket tratou os eventos como exploits potencialmente direcionados ligados à autenticação de terceiros. Essa história importa porque aponta para o mesmo risco estrutural. Sistemas de autenticação e sessões podem tornar-se alvos de alto impacto.

Uma ameaça separada surgiu em novembro de 2025, quando scammers exploraram as secções de comentários da Polymarket. Utilizadores relataram perdas superiores a $500.000 após atacantes publicarem links disfarçados. Esses links levaram vítimas a páginas fraudulentas que capturaram logins de email.

O incidente de dezembro de 2025 volta a centrar-se no risco de integração, não em falhas de liquidação. A Polymarket ainda não divulgou uma análise técnica detalhada ou uma linha do tempo completa do incidente. Também não afirmou se reembolsará os utilizadores pelas perdas.

Entretanto, utilizadores compararam métodos de login e partilharam endereços de carteiras em tópicos públicos. Alguns utilizadores passaram a preferir ligações diretas às carteiras para saldos mais elevados. O episódio reforça uma conclusão mais ampla para o onboarding de cripto: as rotas de identidade e carteira de terceiros agora fazem parte do caminho crítico, podendo tornar-se o ponto mais frágil do ecossistema.