ZachXBT acusa Polyarb de ser um mercado de previsões falso, com um drainer de carteira ativo

O investigador onchain ZachXBT alertou que a Polyarb, um site que se apresenta como uma plataforma de mercado de previsões, está executando um drainer ativo de carteiras e vem ganhando alcance por meio de contas cripto de destaque que respondem às publicações da plataforma.

Principais aprendizados:

• ZachXBT alertou em 4 de maio de 2026 que a Polyarb hospeda um drainer ativo de carteiras que mira usuários de cripto.
• Contas proeminentes que respondem às publicações da Polyarb ampliam o golpe para novos públicos sem perceber.
• O alerta segue a exposição recente de ZachXBT sobre um escritório de advocacia dos EUA que buscava US$ 71 milhões em fundos congelados ligados ao Lazarus.

O que a Polyarb está fazendo

Drainers de carteira funcionam disfarçando uma aprovação maliciosa de contrato inteligente como se fosse uma transação de rotina, de modo que, quando um usuário conecta a carteira e assina o que parece ser uma ação de depósito, saque ou entrada em um mercado, o drainer aciona uma aprovação separada e oculta que concede ao atacante acesso total aos fundos da carteira.

Image source: X ZachXBT destacou especificamente um risco de amplificação, ou seja, uma conta cripto de destaque havia respondido a uma publicação da Polyarb, dando à plataforma um alcance orgânico que ela não alcançaria de outra forma. Responder ao conteúdo de uma plataforma de golpe, mesmo de forma cética, coloca essa plataforma em evidência para toda a audiência do usuário que respondeu, que pode chegar a milhões, sem qualquer indicação de que a fonte é maliciosa.

Parte de um acontecimento mais amplo

Plataformas falsas de finanças descentralizadas (DeFi) e de mercados de previsões se tornaram um vetor de ataque cada vez mais comum em 2026. Operadores de golpes exploram a crescente visibilidade de plataformas legítimas como Polymarket e Kalshi, ambas as quais divulgaram relações regulatórias com a Commodity Futures Trading Commission (CFTC), criando sites “clones” com branding semelhante e contratos sem auditoria.

ZachXBT construiu um histórico consistente de expor essas e outras ameaças relacionadas antes que perdas significativas se acumulem. No começo deste mês, o investigador revelou que um escritório de advocacia dos EUA (Gerstein Harrow) havia protocolado ações buscando sequestrar US$ 71 milhões em ethereum congelado após o exploit de abril de 2026 da KelpDAO ligado ao Grupo Lazarus, usando uma decisão legal de 2015 contra a Coreia do Norte para se adiantar na fila de recuperação em relação às vítimas reais do hack.

Como ficar seguro

Antes de conectar uma carteira a qualquer plataforma de mercado de previsões ou DeFi, os usuários devem verificar o endereço do contrato na documentação oficial da plataforma e confirmar que existe uma auditoria pública de contrato inteligente feita por uma empresa de segurança de renome. Sinais de alerta incluem ausência de relação regulatória divulgada, ausência de contratos auditados e perfis em redes sociais que foram criados recentemente em comparação com o nível de atividade alegado.

Revogar aprovações de tokens após qualquer interação suspeita usando ferramentas como Revoke.cash pode limitar a exposição contínua se o drainer já tiver sido acionado. Usar uma carteira hardware, em vez de uma carteira quente baseada no navegador que mantém valores significativos, ao se conectar a plataformas desconhecidas, pode oferecer uma camada adicional de proteção, já que cada transação exige confirmação física.