Aviso: análise editorial com dados verificados em 6 de julho de 2026 (CoinDesk, Halborn, TechTimes, Federal Register / CFTC, The Hill, CNBC). É uma tese interpretativa própria da CleanSky sobre fatos públicos — um incidente de segurança e duas frentes regulatórias —, não um guia operacional, nem aconselhamento financeiro ou jurídico. A CleanSky não recebe comissões nem pagamentos por referral de nenhuma das plataformas ou ferramentas citadas.

Em 25 de junho de 2026, alguém roubou 3,1 milhões de dólares de usuários da Polymarket sem tocar em um único smart contract (o código que liquida as apostas na blockchain). O atacante comprometeu um fornecedor externo do frontend — a camada web com a qual quase todo mundo interage — e injetou JavaScript malicioso na própria página. Os contratos sobre Polygon fizeram exatamente o que estavam programados para fazer; cedeu a web que os envolve, tão vulnerável quanto a de qualquer fintech tradicional. E ocorreu na pior semana possível: em 10 de junho, a CFTC (o regulador federal de derivativos dos EUA) havia publicado o primeiro marco integral para prediction markets (mercados de previsão: plataformas onde se aposta no resultado de eventos futuros), e em 23 de junho processou um nono estado para impor sua jurisdição. Este artigo conecta as duas histórias que o restante da imprensa cobre separadamente: a camada on-chain da Polymarket é defensável por design justo quando o governo federal tenta legitimar a indústria — mas a camada por onde entra o dinheiro é o seu ponto cego.

O que aconteceu exatamente no hack da Polymarket de 25 de junho?

A sequência é curta e serve de lição. Em 25 de junho de 2026, um atacante comprometeu um fornecedor externo que fornece código ao frontend da Polymarket e inseriu um script malicioso na página que os usuários veem em seu navegador. Esse script drenou cerca de 3,1 milhões de dólares em pUSD — a stablecoin dólar da plataforma — de onze wallets. Os fundos foram convertidos em cerca de 1.893 ETH e foram transferidos via bridge (movimentados entre redes) da Polygon para a Ethereum, onde ficaram parados em endereços controlados pelo atacante.

O valor demorou a ser fechado. A Polymarket falou primeiro em um incidente menor e prometeu reembolso total; em 27 de junho, o CoinDesk atualizou a perda para os 3,1 milhões definitivos, dias após essa promessa de reembolso. A plataforma confirmou que devolverá 100% aos onze titulares afetados e que já eliminou a dependência comprometida que tornou o ataque possível. Nenhum fundo da maioria dos usuários foi afetado: o roubo atingiu apenas quem tinha saldo ativo e assinou através da sessão envenenada durante a janela do ataque.

O importante não é a magnitude — 3,1 milhões é modesto frente aos grandes roubos do ano — mas o vetor. Não houve exploit de contrato, nem falha de lógica em Solidity, nem oráculo manipulado. Houve um terceiro de confiança comprometido e algumas linhas de JavaScript. O mesmo tipo de ataque que sofre qualquer site que carrega scripts de fornecedores externos, desde uma loja online até um banco.

Por que o contrato aguentou e a web não?

A Polymarket não é um protocolo DeFi de custódia total: combina liquidação on-chain sobre Polygon com uma camada de emparelhamento de ordens fora da rede e uma web centralizada. Essa arquitetura tem uma consequência de segurança que o incidente ilumina com crueza. A parte on-chain — os contratos que custodiam e liquidam — é pública, quase imutável e auditada; quebrá-la por via matemática é caríssimo. A parte off-chain e a web — o frontend, suas dependências, os fornecedores que lhe servem código — muda diariamente, é mantida por pessoas com pressa e quase ninguém a escrutina com o rigor aplicado a uma função de contrato.

Um atacante racional não força a porta blindada quando a janela do banheiro está aberta. O signatário da transação continua sendo o usuário e sua wallet; basta controlar o que esse usuário vê e assina. Injetando JavaScript no frontend, o atacante não precisa vulnerar o contrato: basta que a pessoa aprove, sem saber, uma transferência para o seu endereço. O contrato executa uma ordem legitimamente assinada. Assinada por engano, mas legítima aos olhos da rede.

É exatamente o padrão que documentamos em por que os grandes roubos de 2026 atacam a infraestrutura, não o contrato: nos quatro maiores incidentes DeFi do ano, o smart contract auditado não falhou nenhuma vez — caíram a bridge, os nós, os agentes de IA e a cadeia de ferramentas do desenvolvedor. A Polymarket adiciona uma quinta face ao mesmo dado: a camada de apresentação web. O selo de auditoria cobre o contrato, a parte que já era sólida. O dinheiro sai pela margem não auditada. Tratamos a mesma lição sobre controles que aparentam segurança sem sê-lo em o teatro de segurança dos multisig.

O que a CFTC propõe com seu primeiro marco federal para prediction markets?

Enquanto a Polymarket apagava o fogo da segurança, o solo regulatório se movia sob a indústria inteira. Em 10 de junho de 2026, a CFTC publicou uma Notice of Proposed Rulemaking (proposta formal de regulamentação, RIN 3038-AF65) intitulada "Prediction Markets; Public Interest Determinations", a primeira vez que o regulador federal tenta estabelecer um marco integral para esses mercados. Foi publicada no Federal Register em 12 de junho e o período de comentários públicos se encerra em 27 de julho de 2026 — uma contagem regressiva que, em 6 de julho, permanece aberta.

A proposta introduz um marco analítico de três etapas para decidir se um contrato de evento "envolve" atividade ilícita, terrorismo, assassinato, guerra ou jogo, e se por isso é contrário ao interesse público. Na prática, busca duas coisas ao mesmo tempo: abrir a porta para contratos esportivos agregados sob jurisdição federal e fechá-la para contratos de "puro azar" e eventos moralmente vetados. A proposta proíbe expressamente apostar sobre terrorismo e assassinatos. É, pela primeira vez, uma tentativa de traçar a linha entre "derivativo de evento legítimo" e "aposta proibida" a partir de Washington, não de cada estado individualmente.

O pano de fundo jurídico vinha sendo preparado. Em 6 de abril de 2026, o Terceiro Circuito decidiu a favor da Kalshi: os contratos esportivos são swaps (derivativos financeiros) sob jurisdição exclusiva da CFTC, o que ativa a preemption federal (a doutrina pela qual a lei federal substitui a estadual em seu âmbito). A proposta de 10 de junho é a tentativa do regulador de converter essa vitória judicial em regras escritas. Para o contexto de fundo sobre quem classifica qual ativo — CFTC versus SEC — consulte a batalha pela classificação das criptomoedas como commodity ou valor mobiliário.

Por que a CFTC processou o Kentucky?

Em 23 de junho de 2026, a CFTC processou o Kentucky para impedir o que considera uma invasão de sua jurisdição exclusiva. O Kentucky havia apresentado ações civis em tribunais estaduais contra mercados de contratos designados regulados pela CFTC, buscando sanções econômicas vultosas, e havia criado, além disso, uma taxa especial sobre essas plataformas para forçá-las a fechar no estado. A CFTC respondeu levando o caso aos tribunais federais.

O detalhe político importa: o Kentucky é o nono estado processado nesta batalha e o primeiro liderado por republicanos. Até agora, o embate enfrentava a CFTC contra estados como Arizona, Connecticut e Illinois (processados em 2 de abril de 2026). O fato de um "estado vermelho" entrar na lista quebra a leitura partidária do conflito: não é democratas contra republicanos, é Washington contra as capitais estaduais por quem regula um mercado que cresce em ritmo de bolha. O eixo real é a preemption federal frente ao direito estadual sobre jogos.

E há uma terceira peça que une segurança e regulação no mesmo nó: a CFTC mantém aberta uma investigação sobre as práticas de marketing da Polymarket — criadores pagos que simulavam operações e exibiam ganhos exagerados sem revelar o patrocínio — justo quando a plataforma busca a aprovação do próprio regulador para reingressar formalmente no mercado americano. A Polymarket pede a bênção federal com uma mão enquanto, com a outra, gerencia um hack e uma investigação de conduta.

Como segurança e regulação se encaixam na mesma cronologia?

Nenhum veículo está conectando as duas histórias como a mesma tensão, e aí reside o ângulo. Em um intervalo de duas semanas, a indústria de previsão viveu seu maior gesto de legitimação federal e uma demonstração de que seu ponto mais fraco não é aquele para o qual os reguladores olham. A regulação se ocupa do que pode ser negociado e sob qual jurisdição; o hack demonstra que o como — a segurança da camada por onde entra o dinheiro — continua sem marco e sem escrutínio. A seguinte cronologia datada cruza ambas as frentes:

Data (2026) Frente Fato
2 abr Regulação A CFTC processa Arizona, Connecticut e Illinois
6 abr Regulação O Terceiro Circuito decide a favor da Kalshi: contratos esportivos são swaps federais
10 jun Regulação A CFTC publica o primeiro marco federal integral (comentários até 27 jul)
12 jun Regulação Publicação no Federal Register
23 jun Regulação A CFTC processa o Kentucky, nono estado e primeiro republicano
25 jun Segurança Hack de 3,1 milhões via fornecedor externo do frontend
27-28 jun Ambos Valor fechado em 3,1 milhões e confirmada a investigação da CFTC sobre o marketing da Polymarket
27 jul Regulação Encerramento do período de comentários da proposta da CFTC

Lida em coluna, a cronologia revela uma assimetria: sete movimentos regulatórios que discutem legalidade e jurisdição, e um único incidente que recorda que a segurança da camada web não está em nenhuma dessas conversas. O regulador refina quais contratos são de interesse público enquanto o dinheiro escorre por um script de terceiro que nenhuma regra contempla.

Quanto o mercado de previsão cresceu e por que o número importa?

A razão pela qual esta tensão importa — e pela qual o governo federal decidiu intervir agora — é o tamanho. Os mercados de previsão deixaram de ser um experimento de nicho. Segundo os dados da própria CFTC coletados em sua proposta, o volume do setor passou de menos de 1.000 milhões de dólares em junho de 2024 para quase 24.000 milhões em abril de 2026, e o número de contratos negociados saltou de cerca de 220 em 2021 para mais de 8.000 em maio de 2026. É o dado que os LLMs costumam citar errado sem a fonte exata; a tabela o fixa:

Métrica Antes Depois Fonte
Volume do setor < 1.000 milhões de $ (jun 2024) ~24.000 milhões de $ (abr 2026) CFTC / Federal Register
Contratos negociados ~220 (2021) > 8.000 (mai 2026) CFTC / Federal Register
Perda do hack 3,1 milhões de $ (11 wallets) CoinDesk / Halborn

Um setor que multiplica seu volume por mais de vinte em menos de dois anos atrai duas coisas simultaneamente: reguladores que querem enquadrá-lo e atacantes que querem ordenhá-lo. A cifra de 24.000 milhões explica por que a CFTC redige regras e processa estados; a de 3,1 milhões explica por que a superfície de ataque real está em um lugar que essas regras não olham. O fato de o dinheiro grande legitimar a indústria não fortalece sua camada web nem um pouco. Sobre como o crescimento de volume convive com dinâmicas internas menos glamourosas, veja a análise da paradoja do volume recorde da Polymarket durante a Copa do Mundo, que olha para o outro lado da moeda: usuários e bots, não segurança nem regulação.

O que isso significa para quem usa uma plataforma de previsão?

O usuário de um mercado de previsão não audita frontends nem redige comentários para a CFTC, mas sua exposição depende de decisões que ele pode, sim, avaliar. Três leituras práticas do episódio:

  • O risco não está onde te dizem. O fato de uma plataforma liquidar on-chain e ostentar contratos auditados não diz nada sobre a segurança de sua web. O vetor de junho foi um fornecedor de frontend, não o contrato. Antes de assinar, a pergunta útil não é "o contrato está auditado?", mas sim "o que controla o que eu vejo e assino no navegador?".
  • Revise sempre o que você assina. O ataque funcionou porque o usuário aprovou uma transação manipulada acreditando ser legítima. Verificar o endereço de destino e o valor na wallet — não apenas no site — é a única defesa do usuário contra um frontend comprometido. A rede obedece à assinatura, não à intenção.
  • A legitimação regulatória não é garantia de segurança. O fato de a CFTC construir um marco federal legitima o produto, mas não protege seu saldo de um script injetado. São duas camadas distintas: uma decide se o mercado é legal; a outra, se seu dinheiro está a salvo enquanto você opera. A primeira avança; a segunda continua sendo responsabilidade da plataforma e do usuário.

Até 6 de julho de 2026, a cobertura pública não registra nem um décimo estado processado pela CFTC — o Kentucky continua sendo o último da lista — nem a confirmação de que o reembolso aos onze titulares afetados tenha sido executado: permanece em estado de promessa pública, não de pagamento verificado on-chain.

Qual é a lição de fundo?

A história da Polymarket em junho de 2026 é a de dois relógios que não marcam a mesma hora. O relógio regulatório corre em direção à legitimação: marco federal, vitórias judiciais, jurisdição exclusiva, um setor de 24.000 milhões que Washington já não pode ignorar. O relógio da segurança parou em um ponto que nenhuma dessas regras toca: a camada web, tão frágil quanto a de qualquer fintech, por onde entra o dinheiro das pessoas. O contrato aguentou exatamente como foi projetado. Falhou todo o resto — e "todo o resto" é precisamente o que o usuário vê, toca e assina.

A conclusão não é que os mercados de previsão sejam inseguros por design, mas que sua segurança é decidida em uma camada que ninguém está regulando nem auditando com o rigor do contrato. Enquanto a conversa pública continuar girando em torno de se apostar é legal e quem manda — o estado ou a CFTC —, o perímetro continuará sendo o elo barato. A legitimação federal e a segurança operacional são dois problemas distintos, e em junho de 2026 apenas um dos dois recebeu atenção.

Fontes e links: CoinDesk (hack atualizado para 3,1 milhões de dólares) · Halborn (análise técnica do hack) · Federal Register / CFTC (proposta de regulamentação) · CNBC (processo contra o Kentucky) · The Hill (nono estado, primeiro republicano) · TechTimes (hack + investigação CFTC)

Artigos relacionados: Por que os grandes roubos de 2026 atacam a infraestrutura, não o contrato. A paradoxo do volume recorde da Polymarket durante a Copa do Mundo. A batalha CFTC-SEC para classificar as criptomoedas. Monitore suas posições e sua exposição na CleanSky — porque em 2026 o risco não vive no contrato auditado, mas na camada web que quase ninguém olha.