Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
O comprometimento da chave privada da Polymarket transforma a temida exploração em violação interna da carteira
Polimercado enfrentou o que muitos usuários interpretaram como um possível hack em 22 de maio, depois que alertas públicos descreveram um rápido POL drenar na plataforma de mercado de previsão. Contas vinculadas ao Polymarket disseram mais tarde que o incidente não foi uma exploração de contrato inteligente e não afetou os fundos dos usuários ou a resolução do mercado.
A primeira onda de preocupação veio do investigador da rede ZachXBT e da empresa de análise de blockchain Bubblemaps. ZachXBT disse que um endereço de administrador do Polymarket parecia ter sido comprometido no Polygon, com mais de US$ 520.000 drenados no momento de seu alerta no Telegram.
O Bubblemaps então alertou que os invasores estavam removendo 5.000 POL aproximadamente a cada 30 segundos e que cerca de US$ 600.000 haviam sido roubados até o momento, enquanto aconselhava os usuários a pausar a atividade do Polymarket.
A explicação posterior da Polymarket desviou a questão da falha do mercado central para uma violação da segurança operacional interna. As descobertas apontaram para um comprometimento da chave privada de uma carteira usada para “operações internas de recarga”, de acordo com a Polymarket Developers, em vez de “contratos ou infraestrutura central”.
Engenheiro de software Polymarket Shantikiran Chanal da mesma forma disse, “Os fundos dos usuários e a resolução do mercado estão seguros”, acrescentando que o problema estava ligado aos relatórios de pagamento de recompensas.
Isso implica riscos diferentes. Uma falha no contrato ou na resolução levantaria questões sobre se os mercados poderiam liquidar corretamente ou se as posições dos utilizadores foram expostas. Um compromisso interno de carteira de financiamento, embora ainda sério, aponta, em vez disso, para a gestão de chaves, serviços de recarga e controlos operacionais em torno das carteiras que suportam a plataforma.
O alerta público foi mais rápido do que a explicação do comprometimento da chave privada
A linha do tempo mudou rapidamente. A postagem do Telegram de ZachXBT às 08:22 UTC descreveu um endereço de administrador do Polymarket como aparentemente comprometido no Polygon e identificou o endereço do invasor como 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
A mesma postagem listou endereços relacionados e esgotados, dando aos analistas da rede uma trilha a seguir.
Bubblemaps ampliou o aviso às 08h51 UTC, descrevendo a situação como uma exploração de contrato da Polymarket, o tipo de alerta de exploração da Polymarket que levantaria preocupação imediata sobre a infraestrutura principal, e dizendo que o invasor estava removendo 5.000 POL a cada 30 segundos.
Os dados da rede mostram porque o aviso chamou a atenção. Uma transação PolygonScan às 09:01:19 UTC mostra 5.000 POL movendo-se para um endereço de administrador do adaptador UMA CTF rotulado como Polymarket.
Sete segundos depois, outro Transação PolygonScan mostra 4.999.994 POL movendo-se daquele endereço de administrador rotulado para o endereço de invasor rotulado. A página de endereço do invasor é marcada pelo PolygonScan como “Polymarket Adapter Exploiter 1” e mostra transferências repetidas ao redor da janela de alerta.
Esse par de transações apoia o padrão de drenagem visível que desencadeou o alarme público e dá um exemplo concreto do tipo de fluxo de transferência que os membros da equipa da Polymarket descreveram mais tarde como envolvendo uma recarga interna, deixando a causa raiz para as declarações da equipa.
| Pergunta | Alerta inicial | Explicação vinculada ao polimercado |
|---|---|---|
| O que estava acontecendo? | Bubblemaps avisou que 5.000 POL estavam sendo removidos aproximadamente a cada 30 segundos. | As declarações da equipe vinculavam os relatórios ao pagamento de recompensas ou atividades internas de recarga. |
| Foi uma exploração contratual? | Bubblemaps inicialmente o descreveu como uma exploração de contrato da Polymarket. | Contas vinculadas ao Polymarket disseram que as descobertas apontaram para longe dos contratos ou da infraestrutura principal. |
| Os fundos dos usuários foram afetados? | O primeiro alerta aconselhou os usuários a pausar a atividade. | Shantikiran Chanal e Polymarket Developers disseram que os fundos dos usuários e a resolução do mercado estavam seguros. |
| O que permanece sem solução? | A estimativa de perda ao vivo foi de cerca de US$ 600.000 no alerta do Bubblemaps. | O valor final da perda, o conjunto completo de endereços afetados e os detalhes da remediação ainda não foram resolvidos. |
Declarações da equipe apontaram para um comprometimento da chave privada da Polymarket
A redação oficial mais clara veio da conta Polymarket Developers, que enquadrou o incidente como um compromisso de chave privada da Polymarket envolvendo uma carteira usada para operações internas de recarga.
Essa formulação tira o incidente da categoria de vulnerabilidade direta de contrato inteligente e passa para uma questão mais operacional: quem controlava a chave, como ela foi exposta e por que o processo afetado continuava enviando o POL para um endereço que poderia ser drenado.
A declaração de Chanal usou linguagem semelhante, dizendo que os relatórios estavam ligados ao pagamento de recompensas e que as descobertas apontavam para um comprometimento da chave privada de uma carteira usada para operações internas. Em respostas aos usuários, Chanal disse que as carteiras eram “completamente seguras” e que a equipe estava investigando sistemas e segredos de back-end enquanto girava as chaves.
Mustafa, outra fonte ligada ao Polymarket, deu a explicação mais direta da distinção contratual. Ele disse “O contrato CTF não é explorado”, acrescentando que o problema envolvia um endereço de operações interno usado por um serviço que verifica e recarrega saldos a cada poucos segundos.
Ele também disse que todos os fundos dos usuários estavam seguros e que o endereço estava sendo alternado.
A própria documentação da Polymarket ajuda a explicar o que está em jogo por trás dessa distinção. A plataforma afirma que os mercados usam UMA para resolução e que as posições vencedoras são resgatadas após a resolução através de mecanismos relacionados ao CTF.
Sua documentação CTF descreve tokens de resultado para mercados de previsão e observa que os pares Sim/Não são totalmente garantidos. Neste contexto, uma falha direta no CTF ou na infraestrutura de resolução levantaria questões diferentes de uma carteira comprometida utilizada para recompensas ou recargas internas.
As declarações conhecidas da equipe colocam o problema fora da infraestrutura central de resolução de mercado. Eles deixam em aberto a questão da segurança operacional.
As chaves privadas são a camada de autoridade para carteiras blockchain, e uma chave interna comprometida ainda pode movimentar fundos, desencadear pânico público e expor fraquezas no monitoramento ou nos fluxos de financiamento automatizados, mesmo quando os saldos comerciais dos usuários e a liquidação do mercado não são o alvo.
A próxima atualização precisa resolver os detalhes de perda e remediação
Para os usuários no momento, a equipe da Polymarket diz que o incidente foi limitado às operações internas, o que significa que os fundos dos usuários da Polymarket, os contratos principais e os processos de resolução de mercado estavam fora do caminho afetado.
A questão restante é quanto foi perdido e o que mudou depois que a equipe descobriu a chave comprometida.
O primeiro valor disponível da ZachXBT foi de mais de US$ 520.000 drenados. Bubblemaps disse mais tarde que cerca de US$ 600 mil foram roubados no momento do alerta.
As páginas da rede mostram uma trilha de transferência representativa, mas o registro público atual deixa o valor final da perda auditada, o conjunto completo de endereços afetados e o status de recuperação incertos.
O acompanhamento operacional é igualmente importante. Declarações vinculadas à Polymarket disseram que o endereço afetado estava sendo alternado e que a equipe estava investigando sistemas e segredos de back-end.
Isso deixa várias dúvidas: se a rotação foi concluída, se alguma credencial de serviço de recarga conectada foi exposta, se a carteira comprometida tinha permissões além das transferências observadas e se a plataforma publicará um relatório de incidente explicando a falha.
Para os traders, a conclusão prática é que o texto público inicial parece ter exagerado o ângulo de exploração do contrato com base nas declarações posteriores da equipa da Polymarket. Uma drenagem real de fundos internos continua a ser um incidente de segurança, especialmente para uma plataforma cujos utilizadores dependem de uma separação clara entre carteiras operacionais, sistemas de recompensas e infra-estruturas de mercado.
Até que a Polymarket emita uma atualização final, a equipe disse aos usuários que seus fundos e resolução de mercado estão seguros, enquanto o registro da cadeia pública mostra uma rápida drenagem de POL da infraestrutura rotulada pela Polymarket.
A próxima divulgação precisa indicar a perda final, confirmar a rotação do endereço e explicar o que mudou depois que um comprometimento da chave privada da Polymarket transformou uma carteira interna no centro de um alarme de drenagem ao vivo.
