Uma transação na cadeia de menos de 0,1 dólares consegue apagar instantaneamente ordens de market-making no valor de dezenas de milhares de dólares do livro de ordens da Polymarket. Isto não é uma teoria, mas uma realidade que está a acontecer.

Em fevereiro de 2026, um utilizador revelou nas redes sociais uma nova técnica de ataque contra os market makers da Polymarket. O blogger BuBBliK descreveu-a como “elegante & brutal”, porque o atacante só precisa de pagar menos de 0,1 dólares em Gas na rede Polygon para completar um ciclo de ataque em cerca de 50 segundos, enquanto as vítimas, os market makers e bots de trading automáticos que colocam ordens de compra e venda com dinheiro real, enfrentam remoção de ordens, exposição de posições ou perdas diretas.

A PANews analisou um endereço de atacante marcado pela comunidade, que foi registado em fevereiro de 2026, participou em apenas 7 mercados, mas já obteve um lucro total de 16.427 dólares, sendo que a maior parte do lucro foi obtida em menos de um dia. Quando um mercado de previsão avaliado em 9 mil milhões de dólares tem a sua liquidez manipulada por custos de alguns cêntimos, revela-se que há mais do que uma simples vulnerabilidade técnica.

A PANews irá aprofundar a análise do mecanismo técnico, da lógica económica e do impacto potencial desta ameaça na indústria de mercados de previsão.

Como ocorre o ataque: uma caça precisa usando “diferença de tempo”

Para entender este ataque, é preciso compreender o fluxo de transações na Polymarket. Ao contrário da maioria das DEX, a Polymarket procura oferecer uma experiência semelhante à de uma bolsa centralizada, usando uma arquitetura híbrida de “match off-chain + liquidação on-chain”: as ordens são colocadas e combinadas instantaneamente fora da cadeia, e só a liquidação final é enviada para a cadeia Polygon. Este design proporciona uma experiência de ordens sem Gas e de execução em segundos, mas cria uma janela de “diferença de tempo” de alguns segundos a dezenas de segundos entre o off-chain e o on-chain, que os atacantes aproveitam.

A lógica do ataque não é complexa. O atacante faz uma ordem de compra ou venda normal via API, que é validada pelo sistema off-chain sem problemas, e é combinada com outras ordens no livro. Mas quase ao mesmo tempo, o atacante envia na cadeia uma transferência de USDC com uma taxa de Gas muito elevada, esvaziando a sua carteira. Como a taxa de Gas é muito superior ao padrão do relé, essa transação é confirmada primeiro na rede. Quando o relé envia a confirmação da combinação para a cadeia, a carteira do atacante já está vazia, e a transação falha por saldo insuficiente, sendo revertida.

Se a história terminasse aqui, seria apenas uma despesa de Gas do relé. Mas o passo realmente fatal é que, mesmo com a transação a falhar na cadeia, o sistema off-chain da Polymarket força a remoção de todas as ordens de market makers inocentes que participaram na combinação falhada. Em outras palavras, com uma única transação destinada a falhar, o atacante consegue “limpar” todas as ordens de compra e venda colocadas com dinheiro real por outros traders.

Para fazer uma analogia: é como num leilão, gritar alto para fazer uma oferta, e no momento do martelo, dizer “não tenho dinheiro”, mas o leilão ainda assim confisca os bilhetes de todos os outros licitantes legítimos, fazendo o leilão ficar sem vencedor.

É importante notar que a comunidade descobriu uma versão “melhorada” do ataque, chamada “Ghost Fills” (Fills Fantasmas). Nessa versão, o atacante não precisa de fazer a transferência primeiro, mas, após a combinação off-chain e antes da liquidação on-chain, chama diretamente uma função do contrato inteligente que cancela todas as ordens com um clique, fazendo-as desaparecer instantaneamente. Ainda mais astuto, o atacante pode colocar ordens em vários mercados, monitorar os movimentos de preço e manter apenas as ordens favoráveis, cancelando as desfavoráveis, criando assim uma espécie de “opção grátis, que só ganha”.

“Economia” do ataque: alguns cêntimos de custo para 16 mil dólares de lucro

Além de eliminar ordens de market makers, essa manipulação do estado off-chain e on-chain também é usada para caçar bots de trading automáticos. Segundo a equipe de segurança GoPlus, os bots afetados incluem Negrisk, ClawdBots, MoltBot, entre outros.

O atacante remove ordens, cria “Fills Fantasmas”, mas como é que isso gera lucro?

A análise da PANews revela duas principais rotas de lucro.

Primeira: “monopólio após limpeza”. Normalmente, um mercado de previsão popular tem vários market makers competindo, com spreads estreitos, por exemplo, uma ordem de compra a 49 cêntimos e uma de venda a 51 cêntimos, lucrando 2 cêntimos por operação. O atacante, ao repetir transações destinadas a falhar, força a eliminação de todos os concorrentes. Assim, o livro fica vazio, e o atacante coloca ordens com spreads largos, por exemplo, compra a 40 cêntimos e vende a 60 cêntimos. Outros traders, sem melhores preços, aceitam essas cotações, e o atacante lucra com o spread de 20 cêntimos. Este ciclo de limpar, monopolizar e lucrar repete-se continuamente.

Segunda rota: “caça a bots de hedge”. Por exemplo, num mercado com o preço de “Yes” a 50 cêntimos, o atacante faz uma ordem de compra de 10 mil dólares de “Yes” via API. Após a confirmação off-chain, o sistema informa o bot que vendeu as ações. Para fazer hedge, o bot compra imediatamente 20 mil ações de “No” em outro mercado, para proteger o lucro. Mas, ao mesmo tempo, o atacante faz a transação on-chain de 10 mil dólares falhar, deixando o bot sem a posição de hedge, com apenas a posição de “No”. Assim, ao fazer operações reais, o atacante lucra ao forçar o bot a vender posições sem proteção, ou aproveitando diferenças de preço.

Cada ciclo de ataque custa menos de 0,1 dólares em Gas na rede Polygon, dura cerca de 50 segundos, e pode ser repetido aproximadamente 72 vezes por hora. Um atacante criou um sistema automatizado de “duas carteiras” (Cycle A Hub e Cycle B Hub) que alternam, realizando ataques de alta frequência. Já há centenas de transações falhadas registradas na cadeia.

Quanto ao lucro, um endereço marcado pela comunidade, registado em fevereiro de 2026, participou em 7 mercados e obteve um total de 16.427 dólares de lucro, com uma maior operação de 4.415 dólares, concentrada em um curto período. Ou seja, com menos de 10 dólares de Gas, conseguiu gerar mais de 16 mil dólares de lucro em um dia. E este é apenas um endereço marcado; o número real de atacantes e lucros pode ser ainda maior.

Para os market makers prejudicados, as perdas são ainda mais difíceis de quantificar. Traders que operam bots de mercado a cada 5 minutos relataram perdas de “milhares de dólares”. O dano mais profundo é o custo de oportunidade e o esforço de ajustar estratégias de market-making, devido às ordens removidas frequentemente.

O problema mais grave é que essa vulnerabilidade é uma falha no design do mecanismo subjacente da Polymarket, que não pode ser corrigida rapidamente. Com a divulgação dessas técnicas, ataques semelhantes podem tornar-se mais comuns, prejudicando ainda mais a liquidez já frágil da plataforma.

Autodidatismo da comunidade, alertas e silêncio da plataforma

Até agora, a Polymarket não publicou declarações detalhadas ou planos de correção para este ataque. Alguns utilizadores nas redes sociais relataram que o bug já tinha sido reportado várias vezes há meses, sem resposta. É importante notar que, anteriormente, a Polymarket também recusou reembolsar em casos de “ataques de governança” (manipulação de votos na Oracle UMA).

Sem ações oficiais, a comunidade começou a procurar soluções. Um desenvolvedor criou uma ferramenta de monitoramento open-source chamada “Nonce Guard”, que acompanha em tempo real as cancelamentos de ordens na cadeia Polygon, constrói uma lista negra de endereços atacantes e fornece alertas para bots de trading. Contudo, essa solução é apenas um remendo, uma melhoria na monitorização, e não resolve a vulnerabilidade na raiz.

Em comparação com outros métodos de arbitragem, esse tipo de ataque pode ter impactos mais profundos.

Para os market makers, a possibilidade de suas ordens serem apagadas em massa sem aviso prejudica a estabilidade e a previsibilidade das estratégias, podendo desmotivar a oferta de liquidez na plataforma.

Para os usuários de bots automáticos, os sinais de execução podem tornar-se não confiáveis, e os traders comuns podem sofrer perdas significativas devido à liquidez desaparecida instantaneamente.

Para a própria Polymarket, quando os market makers deixam de colocar ordens e os bots deixam de fazer hedge, a profundidade do livro de ordens diminui inevitavelmente, criando um ciclo vicioso de deterioração.

Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a Isenção de responsabilidade.

RLUSD da Ripple Aprovado como Garantia para Futuros na Bitrue; Deloitte Confirma Cobertura Total de Reservas

Fluxo de capital Dados sobre derivados Parcerias e ecossistema

O stablecoin RLUSD da Ripple é agora garantia para negociação de futuros na Bitrue, melhorando a eficiência de capital e reduzindo a exposição à volatilidade. Verificado pela Deloitte como totalmente coberto, o RLUSD também pretende modernizar os sistemas fiscais de Gana para pequenas empresas através da tecnologia blockchain.

GateNews1h atrás

ETH sobe 0,65% em 15 minutos: domínio das compras à vista impulsiona a entrada líquida de fundos

ethereum news Volatilidade dos preços Fluxo de capital Dados on-chain

Durante o período de 2026-04-16 15:00 a 15:15 (UTC), o preço do ETH registou uma rendibilidade de +0,65%; o preço máximo do intervalo foi de 2330,16 USDT e o mínimo foi de 2308,58 USDT, com uma amplitude de 0,93%. O aumento de curto prazo suscitou atenção imediata no mercado, aumentando a actividade dos fundos e verificando-se um agravamento moderado da volatilidade, evidenciado pelo reforço da força de compra no mercado à vista. Os principais impulsionadores desta alteração foram a continuação do domínio das ordens de compra no mercado à vista das principais plataformas de negociação; no espaço de 15 minutos, a percentagem do volume de compras atingiu 58%–59%, com um volume total de cerca de 2,2K–2,6K ETH

GateNews2h atrás

BTC sobe ligeiramente +0,46% em 15 minutos: a saída de fundos institucionais e o sentimento macro de busca de refúgio convergem

bitcoin news Análise de mercado Fluxo de capital Macroeconomia Geopolítica Dados on-chain

2026-04-16 15:00 até 15:15 (UTC), o BTC registou uma rendibilidade de +0,46% num intervalo de 15 minutos, com uma faixa de variação de preço entre 73939.7 e 74440.0 USDT, e uma amplitude de 0,68%. Durante esta janela de tempo, a atenção do mercado aumentou, a volatilidade no curto prazo intensificou-se e as características de fluxo de fundos alteraram-se de forma acentuada. O principal motor desta alteração súbita foi a saída contínua de grandes quantias das bolsas; de acordo com os dados on-chain, o fluxo líquido nas últimas 24 horas foi de -14,408.84 BTC, concentrado sobretudo em transferências de grandes montantes superiores a 1 milhão de dólares (em particular, >$10M de saída líquida -12,987.03 BTC), o que indica que instituições e detentores de grandes carteiras reduziram ativamente as suas participações de BTC dentro de bolsa, diminuindo significativamente a pressão vendedora no curto prazo. Num contexto em que a liquidez continua relativamente fraca e a profundidade do livro de ordens permanece durante muito tempo em níveis baixos, o preço torna-se mais sensível a ordens de compra de dimensão média, amplificando o impacto de uma entrada de fundos de pequena escala na cotação à vista. Além disso, mudanças no contexto macro produziram um efeito de sincronização: a estabilização da situação geopolítica no Médio Oriente reforçou o sentimento geral do mercado; o preço do ouro internacional subiu; os mercados acionistas globais bateram máximas históricas; a probabilidade de cortes nas taxas da Reserva Federal ao longo do ano foi reavaliada pelo mercado, o que voltou a captar a atenção dos investidores para ativos de refúgio (incluindo o BTC). Em simultâneo, os dados on-chain mostram que a atividade dos “baleias” nesta fase se encontra no nível mais baixo do ano (>$1M de transferências desceu para 1,485 transacções), com um sentimento de espera no mercado particularmente forte e uma oferta de curto prazo limitada, o que aumenta ainda mais a sensibilidade do preço do BTC a compras súbitas por fundos. É necessário lembrar aos investidores que a liquidez do mercado continua frágil: a profundidade insuficiente do livro de ordens aumenta a sensibilidade da cotação a movimentos de grandes quantias, pelo que a volatilidade no curto prazo pode intensificar-se. Num momento seguinte, é importante acompanhar sobretudo as alterações no fluxo de grandes quantias on-chain, as mudanças na cotação ao romper zonas de suporte ou de resistência, e os riscos e oportunidades trazidos pela evolução das políticas macro relevantes e pelos acontecimentos geopolíticos. Acompanhe continuamente os dados-chave e esteja atento a potenciais choques inesperados durante o período de alteração súbita.

GateNews2h atrás

ETFs de Bitcoin, Ethereum e Solana registam entradas líquidas positivas a 16 de abril

bitcoin news ethereum news solana news Fluxo de capital Dados on-chain Ações

Mensagem do Gate News, de acordo com a atualização de 16 de abril, os ETFs de Bitcoin registaram uma entrada líquida de 1 dia de +2,855 BTC (+$209.95M) e uma entrada líquida de 7 dias de +11,849 BTC (+$871.52M). Os ETFs de Ethereum mostraram uma entrada líquida de 1 dia de +15,477 ETH (+$35.44M) e uma entrada líquida de 7 dias de +90,366 ETH (+$206.94M). Os ETFs de Solana "

GateNews2h atrás

A Grayscale Sinaliza um Potencial de Entrada de Cripto de $2.2T como $110T Transferência de Riqueza Se Acelera

Previsão de preços Fluxo de capital Macroeconomia Ações

Uma mudança geracional na riqueza está preparada para influenciar as estratégias de investimento, com os investidores mais jovens provavelmente a aumentarem as alocações em cripto. A Grayscale observa que, à medida que $110 triliões em riqueza passam dos baby boomers, $2.2 biliões poderão fluir para ativos digitais, reforçando o seu papel nas carteiras.

Coinpedia3h atrás

Queda de 1,23% no ETH em 15 minutos: venda concentrada do retalho e saída de fluxos dos ETF amplificam a pressão no mercado à vista

ethereum news Volatilidade dos preços Fluxo de capital Dados on-chain

2026-04-16 13:45 até 14:00 (UTC), o preço à vista do ETH caiu 1,23% em apenas 15 minutos, a faixa de preços do gráfico K abrange 2291.2 a 2336.98 USDT, com uma amplitude de 1,96%. A volatilidade do mercado aumentou, a pressão vendedora no ecrã concentrou-se e o foco do grupo de negociação convergiu claramente para a mudança no sentido da saída de fundos. O principal motor desta alteração anómala é a venda em massa e concentrada por parte do segmento retalhista; no mercado à vista, a saída líquida em 5 minutos atinge -$95.57M. Apesar de haver tentativas de absorção por parte de fundos principais (entrada líquida de ordens de grande dimensão em 5 minutos de +$18.95M), a escala global é limitada e não consegue compensar eficazmente a pressão vendedora no curto prazo.

GateNews3h atrás

Comentar

0/400

Nenhum comentário