A Polymarket rejeita alegações de 'nonsense' de violação de dados por vendedor da dark web

A Polymarket rejeitou alegações de uma grande violação de dados por um vendedor da dark web, chamando os relatórios de “nonsense”. O ator de ameaça que usa o pseudônimo “xorcat” afirmou ter vazado uma base de dados que afeta mais de 300 mil registros e um Kit de Exploração, contendo aproximadamente 1GB de registros (nomes, pseudônimos e endereços de carteiras).

O atacante, que afirmou ter vazado os dados da Polymarket em um fórum popular de cibercrime, explicou que os dados foram extraídos via endpoints de API não documentados, uma bypass de paginação e uma má configuração de CORS nas APIs Gamma e CLOB da Polymarket. O pacote também incluía um script de auto-dump e provas de conceito funcionais para múltiplas CVEs.

Especificamente, os dados extraídos incluíam 10.000 perfis de usuários únicos com informações pessoais completas (nome, pseudônimo, biografia, imagem de perfil, carteira proxy e endereço base), e mais de 4.111 comentários com objetos de perfil anexados.

O atacante também forneceu scripts de prova de conceito e alegou que os dados incluíam 1.000 registros de relatórios contendo 58 endereços ETH únicos e um indicador admin_auth_addr, bem como mais de 48.000 mercados gamma com metadados completos, IDs de condição e IDs de token.

Além disso, havia mais de 250.000 mercados ativos de CLOB com endereços FPMM, e mais de 292 eventos com endereços ETH de remetentes/resolutores e nomes de usuário internos. O vazamento também incluía 100 configurações de recompensas com endereços de contrato USDC e taxas diárias, 9.000 perfis de seguidores (com nomes, pseudônimos e carteiras proxy), e IDs de usuário internos expostos nos campos createdBy/updatedBy.

A violação na Polymarket representa uma ameaça à segurança nacional

A Polymarket está no centro de um grande escândalo de integridade que representa um tipo diferente de violação – uma de status de segurança nacional. O DOJ e a CFTC estão usando a violação recente como um exemplo principal do porquê os mercados de previsão precisam de uma supervisão mais rigorosa, argumentando que eles podem incentivar o vazamento de inteligência classificada para obter lucro. Isso expõe os traders – incluindo figuras políticas de alto perfil – a ataques de phishing direcionados ou assédio.

Essas alegações seguem um padrão de falhas de cibersegurança confirmadas que abalaram a confiança dos usuários nos últimos seis meses. Os atacantes na manipulação de API/Bot de fevereiro de 2026 exploraram uma falha de design no sistema de ordens da Polymarket, e criaram “nonces” para cancelar negociações na cadeia enquanto mantinham registros fora da cadeia válidos. Isso causou perdas massivas para bots baseadas em relatórios API errôneos.

A Polymarket também confirmou outra violação de autenticação de terceiros em dezembro de 2025. A violação foi vinculada a uma vulnerabilidade em uma ferramenta de login de terceiros (relatadamente Magic Labs), que permitiu aos atacantes esvaziar fundos mesmo de contas com 2FA ativado. Outro ataque de phishing em novembro de 2025 na seção de comentários da Polymarket levou a perdas superiores a $500.000 para os usuários.

Reguladores mudam para proibição ativa à medida que o volume de mercados de previsão cresce

Reguladores estão passando de observação passiva para proibição ativa à medida que o volume de mercados de previsão aumenta. O governo brasileiro bloqueou 27 plataformas em abril de 2026 (incluindo Kalshi e Polymarket), citando preocupações com dívidas domésticas e proteção ao consumidor.

Autoridades na Romênia e Portugal também bloquearam contratos políticos específicos recentemente para evitar apostas especulativas nas eleições.

Enquanto isso, a Polymarket adotou regras internas mais rigorosas a partir de março de 2026. As regras proíbem explicitamente negociações baseadas em informações roubadas ou conhecimento “de insider” sobre eventos geopolíticos. A Polymarket também assinou um Acordo de Serviços Regulatórios com a Associação Nacional de Futuros (NFA) para implementar vigilância em tempo real. A medida sinalizou uma mudança em direção à conformidade financeira mainstream.

Reguladores também examinaram de perto negociações de alto perfil, como a aposta de $32.000 na captura de Nicolás Maduro, que gerou um lucro de $436.000 pouco antes de a notícia oficial ser divulgada em janeiro de 2026. A Casa Branca e várias agências alertaram contra negociações com informações não públicas relacionadas a conflitos geopolíticos, como a guerra EUA-Irã.

Por outro lado, o analista Gautam Chhugani, da Bernstein, espera que uma maior clareza regulatória a nível federal impulsione o crescimento dos mercados de previsão. Ele estima que o volume total de mercados de previsão atingirá $240 bilhão em 2026 (+370% em relação ao ano passado).

Chhugani também projeta que o volume de negociações de mercados de previsão atingirá $1 trilhão por ano até o início da próxima década, com uma taxa de crescimento anual composta de aproximadamente 80% entre 2025 e 2030. A composição dos contratos negociados também deve mudar.

Se você está lendo isto, você já está à frente. Mantenha-se assim com a nossa newsletter.