- ZachXBT disse que o contrato UMA CTF da Polymarket na Polygon foi explorado por mais de $520 mil.
- O atacante comprometeu uma antiga chave privada pertencente a uma carteira interna de operações da Polymarket.
- Esse incidente levanta novas preocupações de segurança de mercado de previsão e pode impactar a confiança dos usuários na Polymarket.
Em 22 de maio de 2026, o renomado investigador on-chain ZachXBT alertou que o contrato do Universal Market Access (UMA) Conditional Token Framework (CTF) Adapter da Polymarket na Polygon provavelmente foi explorado em uma grande violação de segurança, com invasores drenando mais de US$ 520.000 dos endereços vinculados até agora, principalmente tokens POL e USDC.e.
ZachXBT sinaliza suspeita de exploit de contrato UMA da Polymarket de mais de $520 mil
O ZachXBT sinalizou atividade suspeita envolvendo o contrato UMA CTF Adapter da Polymarket implantado na Polygon. Relatórios da comunidade e dados on-chain indicaram que mais de $520.000, principalmente em tokens POL e USDC.e, foram drenados do adaptador, com alguns rastreadores posteriormente relatando totais superiores a $600.000.
A atividade de drenagem envolveu transferências repetidas, incluindo aproximadamente 5.000 POL a cada 30 segundos de endereços contratuais, notadamente 0x871D7… 082 e 0xf61e3… 805. Os fundos roubados eram então rapidamente canalizados por uma cadeia de carteiras intermediárias, provavelmente para obscurecer o rastro de transações e complicar os esforços de rastreamento.
O que causou a exploração do adaptador UMA da Polymarket
O incidente não foi resultado de uma vulnerabilidade ou bug no código do smart contract do adaptador UMA CTF ao vivo. Em vez disso, ela surgiu do compromisso de uma antiga chave privada pertencente a uma carteira interna de operações do Polymarket .
Essa carteira possuía privilégios administrativos vinculados ao inicializador UMA CTF Adapter no Polygon. Anteriormente, ele era usado para operações internas, como distribuição de recompensas, recargas de liquidez ou tarefas de manutenção relacionadas. O agressor, endereço 0x8F980… A B91, controlando a chave comprometida, fez login e executou transações legítimas que drenavam fundos diretamente dos endereços dos contratos adaptadores, com partes já depositadas em serviços como o ChangeNOW, uma plataforma de exchange de criptomoedas não custodiante.
A equipe de engenharia da Polymarket confirmou o incidente logo após o alerta do ZachXBT. A equipe também afirmou que os balances e posições dos usuários na plataforma central da Polymarket permanecem inalterados, já que o papel do adaptador se limita a funções relacionadas à oráculo.
Qual é o impacto na segurança do polimercado e do mercado de previsão?
O incidente renovou as preocupações sobre a segurança da infraestrutura em mercados descentralizados de previsão, especialmente protocolos que dependem de adaptadores oráculo e integrações complexas entre contratos. Especialistas em segurança esperam que a violação acelere as demandas por auditorias mais rigorosas de contratos inteligentes, programas ampliados de recompensa contra bugs, controles de carteira mais rigorosos e monitoramento contínuo on-chain para a Polymarket e plataformas similares.
Apesar do exploit, as operações de resolução de mercado e liquidação continuaram sem interrupções porque o comprometimento estava vinculado a uma chave privada administrativa legada na implantação do Polygon, e não a uma vulnerabilidade na lógica de contratos ativos ou na infraestrutura central de negociação.
No entanto, o exploit ressalta um risco mais amplo enfrentado pelo setor de mercado de previsão, já que até mesmo componentes de infraestrutura não custodiais, como adaptadores oracle, podem se tornar superfícies críticas de ataque se chaves privilegiadas forem mal gerenciadas, rotacionadas insuficientemente ou mantidas ativas após o uso operacional.
Como resultado, o incidente reforça a necessidade de padrões de segurança operacional mais rigorosos, incluindo autorização multiassinatura, módulos de segurança de hardware, proteções com bloqueio de tempo, rotação regular de credenciais e auditorias contínuas de segurança em sistemas oráculos DeFi.
Relacionado: Polymarket rejeita alegações de violação de dados de 300K
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
