ZachXBT aponta o Polyarb como um mercado de previsões falso com um esquema de drenagem de carteiras em ação

Pontos principais:

• ZachXBT alertou em 4 de maio de 2026 que o Polyarb hospeda um drainer de carteiras ativo que tem como alvo usuários de criptomoedas.
• Contas proeminentes que respondem às postagens do Polyarb amplificam o golpe para novos públicos sem perceber.
• O alerta segue a recente denúncia de ZachXBT sobre um escritório de advocacia dos EUA que busca US$ 71 milhões em fundos congelados ligados ao Lazarus.

O que o Polyarb está fazendo

Os drenadores de carteiras funcionam disfarçando a aprovação de um contrato inteligente malicioso como uma transação de rotina, de modo que, quando um usuário conecta sua carteira e assina o que parece ser um depósito, uma reivindicação ou uma ação de entrada no mercado, o drenador aciona uma aprovação separada e oculta que concede ao invasor acesso total aos fundos da carteira.

ZachXBT destacou especificamente um risco de amplificação, ou seja, uma conta de criptomoedas proeminente havia respondido a uma postagem da Polyarb, dando à plataforma um alcance orgânico que ela não alcançaria de outra forma. Responder ao conteúdo de uma plataforma fraudulenta, mesmo que com ceticismo, coloca essa plataforma na frente de todo o público do usuário que respondeu, que pode chegar a milhões de pessoas, sem nenhuma indicação de que a fonte seja maliciosa.

Parte de um fenômeno mais amplo

Plataformas falsas de finanças descentralizadas (DeFi) e de mercado de previsão tornaram-se um vetor de ataque cada vez mais comum em 2026. Operadores de golpes exploram a crescente visibilidade de plataformas legítimas como Polymarket e Kalshi, ambas as quais divulgaram relações regulatórias com a Commodity Futures Trading Commission (CFTC), criando sites semelhantes com marcas parecidas e sem contratos auditados.

ZachXBT construiu um histórico consistente de expor essas e outras ameaças relacionadas antes que perdas significativas se acumulem. No início deste mês, o investigador revelou que um escritório de advocacia dos EUA (Gerstein Harrow) havia entrado com ações judiciais buscando apreender US$ 71 milhões em ethereum congelados após a exploração do KelpDAO em abril de 2026, ligada ao Grupo Lazarus, usando uma sentença judicial de 2015 contra a Coreia do Norte para se antecipar às vítimas reais do hack em qualquer fila de recuperação.

Como se manter seguro

Antes de conectar uma carteira a qualquer mercado de previsão ou plataforma DeFi, os usuários devem verificar o endereço do contrato com a documentação oficial da plataforma e confirmar se existe uma auditoria pública do smart contract realizada por uma empresa de segurança conceituada. Sinais de alerta incluem a ausência de relações regulatórias divulgadas, contratos não auditados e perfis nas redes sociais que surgiram recentemente em relação ao nível de atividade alegado.

Revogar aprovações de tokens após qualquer interação suspeita usando ferramentas como o Revoke.cash pode limitar a exposição contínua caso um drainer já tenha sido acionado. Usar uma carteira de hardware, em vez de uma carteira quente baseada em navegador que contenha fundos significativos, ao se conectar a plataformas desconhecidas, pode fornecer uma camada adicional de proteção, já que cada transação requer confirmação física.