A Polymarket desmentiu as alegações de um vazamento massivo de dados por um vendedor da dark web, classificando os relatos como "absurdos". O agente malicioso, usando o pseudônimo "xorcat", afirmou ter vazado um banco de dados com mais de 300 mil registros e um kit de exploração contendo aproximadamente 1 GB de dados (nomes, pseudônimos e endereços de carteiras).
O atacante, que alegou ter vazado os dados da Polymarket em um fórum popular de crimes cibernéticos, explicou que os dados foramtracpor meio de endpoints de API não documentados, uma falha na paginação e uma configuração incorreta de CORS nas APIs Gamma e CLOB da Polymarket. O pacote também incluía um script de auto-dump e provas de conceito (POCs) funcionais para várias vulnerabilidades CVE.
Especificamente, os dados coletados incluíram 10.000 perfis de usuários únicos com informações pessoais completas (nome, pseudônimo, biografia, imagem de perfil, carteira proxy e endereço base) e mais de 4.111 comentários com objetos de perfil anexados.
O atacante também forneceu scripts de prova de conceito e alegou que os dados incluíam 1.000 registros de relatórios contendo 58 endereços ETH exclusivos e um indicador admin_auth_addr, bem como mais de 48.000 mercados gama com metadados completos, IDs de condição e IDs de token.
Além disso, foram encontrados mais de 250.000 mercados CLOB ativos com endereços FPMM e mais de 292 eventos com endereços ETH de remetentes/resolvedores e nomes de usuário internos. O vazamento também incluiu 100 configurações de recompensa com endereços detracUSDC e taxas diárias, 9.000 perfis de seguidores (com nomes, pseudônimos e carteiras proxy) e IDs de usuários internos expostos nos campos createdBy/updatedBy.
A violação de dados da Polymarket representa uma ameaça à segurança nacional
A Polymarket está no centro de um grande escândalo de integridade que representa um tipo diferente de violação – uma violação do status de segurança nacional. O Departamento de Justiça dos EUA e a CFTC (Comissão de Negociação de Futuros de Commodities) estão usando a recente violação como um exemplo primordial de por que os mercados de previsão precisam de uma supervisão mais rigorosa, argumentando que eles podem incentivar o vazamento de informações confidenciais para obter lucro. Isso expõe os investidores – incluindo figuras políticas de alto escalão – a ataques de phishing ou assédio direcionados.
Essas alegações seguem um padrão de falhas de segurança cibernética confirmadas que abalaram a confiança dos usuários nos últimos seis meses. Os atacantes que manipularam a API/bot em fevereiro de 2026 exploraram uma falha de projeto no sistema de ordens da Polymarket e criaram "nonces" para cancelar negociações on-chain, mantendo os registros off-chain válidos. Isso fez com que os bots sofressem enormes prejuízos com base em relatórios de API errôneos.
A Polymarket também confirmou outra violação de autenticação de terceiros em dezembro de 2025. A violação foi relacionada a uma vulnerabilidade em uma ferramenta de login de terceiros (supostamente da Magic Labs), que permitiu que invasores drenassem fundos mesmo de contas com autenticação de dois fatores (2FA) ativada. Outro ataque de phishing em novembro de 2025 na seção de comentários da Polymarket resultou em perdas de mais de US$ 500.000 para os usuários.
À medida que o volume do mercado de previsões cresce, os reguladores passam a adotar uma postura de proibição ativa
À medida que os mercados de previsão crescem em volume, os reguladores estão passando da observação passiva para a proibição ativa. O governo brasileiro bloqueou 27 plataformas em abril de 2026 (incluindo Kalshi e Polymarket), alegando preocupações com o endividamento das famílias e a proteção do consumidor.
As autoridades da Romênia e de Portugal também bloquearam recentementetracpolíticos específicos para impedir apostas especulativas nas eleições.
Entretanto, a Polymarket adotou regras internas mais rigorosas a partir de março de 2026. As regras proíbem explicitamente negociações baseadas em informações roubadas ou conhecimento privilegiado de eventos geopolíticos. A Polymarket também firmou um Acordo de Serviços Regulatórios com a National Futures Association (NFA) para implementar vigilância em tempo real. Essa medida sinalizou uma mudança em direção à conformidade financeira convencional.
Os órgãos reguladores também examinaram de perto negociações de alto perfil, como a aposta de US$ 32.000 na captura de Nicolás Maduro, que rendeu um lucro de US$ 436.000 pouco antes da divulgação oficial da notícia em janeiro de 2026. Desde então, a Casa Branca e diversas agências têm alertado contra negociações baseadas em informações não públicas relacionadas a conflitos geopolíticos, como a guerra entre os EUA e o Irã.
Por outro lado, o analista da Bernstein, Gautam Chhugani, prevê que uma maior clareza regulatória em nível federal impulsionará o crescimento dos mercados de previsão. Ele estima que o volume total do mercado de previsão atingirá US$ 240 bilhões em 2026 (um aumento de 370% em relação ao ano passado).
Chhugani também prevê que o volume de negociação no mercado de previsões atingirá US$ 1 trilhão por ano no início da próxima década, com uma taxa de crescimento anual composta de aproximadamente 80% entre 2025 e 2030. A composição dostracnegociados também deverá mudar.
