ZachXBT marca Polyarb como um mercado de previsões falso, com um drainer de carteiras ativo

O investigador onchain ZachXBT alertou que Polyarb, um site que se apresenta como uma plataforma de mercados de previsão, está a executar um wallet drainer ativo e está a ganhar alcance graças a contas de criptomoeda de destaque que respondem aos seus posts.

Principais Destaques:

• ZachXBT alertou a 4 de maio de 2026 que a Polyarb hospeda um wallet drainer ativo que visa utilizadores de cripto.
• Contas de destaque que respondem aos posts da Polyarb amplificam a burla para novos públicos, sem se aperceberem.
• O alerta surge na sequência da recente exposição de ZachXBT de um escritório de advogados dos EUA que procurava 71 milhões de dólares em fundos congelados ligados à Lazarus.

O que a Polyarb está a fazer

Os wallet drainers funcionam disfarçando uma aprovação de contrato inteligente malicioso como uma transação de rotina, de modo que, quando um utilizador liga a sua carteira e assina o que parece ser uma ação de depósito, levantamento ou entrada num mercado, o drainer despoleta uma aprovação separada e oculta que concede ao atacante acesso total aos fundos da carteira.

Image source: X ZachXBT destacou especificamente um risco de amplificação, ou seja, uma conta de cripto com destaque tinha respondido a um post da Polyarb, dando à plataforma um alcance orgânico que, de outro modo, não conseguiria. Ao responder ao conteúdo de uma plataforma de scam, mesmo de forma céptica, a plataforma é colocada à frente de toda a audiência do utilizador que responde, que pode ascender aos milhões, sem qualquer indicação de que a fonte seja maliciosa.

Parte de um acontecimento mais vasto

Os falsos serviços de finanças descentralizadas (DeFi) e plataformas de mercados de previsão tornaram-se um vetor de ataque cada vez mais comum em 2026. Os operadores de burlas aproveitam a crescente visibilidade de plataformas legítimas como Polymarket e Kalshi, ambas com relações regulatórias divulgadas junto da Commodity Futures Trading Commission (CFTC), criando sites “clones” com branding semelhante e sem contratos auditados.

ZachXBT construiu um historial consistente de exposição destas e outras ameaças relacionadas antes de se acumularem perdas significativas. No início deste mês, o investigador revelou que um escritório de advogados dos EUA (Gerstein Harrow) apresentou pedidos de apreensão de 71 milhões de dólares em ethereum congelados após o exploit de KelpDAO em abril de 2026, associado ao Grupo Lazarus, recorrendo a uma decisão judicial de 2015 contra a Coreia do Norte para avançar face às vítimas reais do ataque na fila de qualquer recuperação.

Como manter-se seguro

Antes de ligar uma carteira a qualquer plataforma de mercados de previsão ou DeFi, os utilizadores devem verificar o endereço do contrato face à documentação oficial da plataforma e confirmar que existe uma auditoria pública de contrato inteligente realizada por uma empresa de segurança reputada. Sinais de alerta incluem ausência de relação regulatória divulgada, ausência de contratos auditados e perfis em redes sociais que apareceram recentemente em relação ao nível de atividade que alegam.

Revogar aprovações de tokens após qualquer interação suspeita com ferramentas como Revoke.cash pode limitar a exposição contínua se o drainer já tiver sido despoletado. Usar uma carteira hardware, em vez de uma hot wallet baseada no navegador que detenha quantias significativas, ao ligar-se a plataformas desconhecidas, pode acrescentar uma camada extra de proteção, já que cada transação exige confirmação física.