Um Secador de Cabelo Venceu o Oráculo do Polymarket, Rendendo $35 mil em Paris

Alguém supostamente se aproximou de um sensor meteorológico da Météo-France desprotegido, próximo ao perímetro da pista do aeroporto Charles de Gaulle, com uma fonte de calor portátil, provocou um pico de temperatura de 4°C em 12 minutos e recolheu cerca de €30.000 (~$35.000) dos mercados de previsão de temperatura em Paris do Polymarket — sem tocar em uma única linha de código blockchain.

O Polymarket liquidava todas as apostas de temperatura em Paris com base em um único sensor da Météo-France posicionado próximo ao perímetro da pista do CDG, acessível e sem vigilância. A regra de liquidação da plataforma era atrelada à temperatura máxima diária registrada. Em 6 de abril, aquele sensor registrou uma leitura acima de 22°C — aproximadamente 4°C superior ao consenso meteorológico regional de ~18°C — ao longo de uma janela de 12 minutos. Um usuário havia colocado apostas exatamente naquele resultado improvável e recolheu o pagamento. Um pico anômalo quase idêntico apareceu em 15 de abril, novamente coincidindo com posições vencedoras.

A análise dos investigadores franceses apontou para interferência deliberada: a temperatura subiu abruptamente e depois retornou aos níveis ambiente — padrão inconsistente com variação atmosférica e consistente com uma fonte de calor localizada aplicada diretamente ao invólucro do sensor. A brevidade da manipulação — apenas o tempo suficiente para estabelecer o máximo diário — sugere que o atacante compreendia os mecanismos precisos de liquidação antes de fazer as apostas.

A Météo-France posteriormente registrou uma queixa criminal formal junto à brigada de gendarmaria de transporte aéreo em Roissy, citando "alteração do funcionamento de um sistema automatizado de processamento de dados". Nenhuma prisão foi anunciada publicamente.

O Polymarket não reverteu nenhum dos pagamentos. Em vez disso, a plataforma trocou discretamente sua fonte de dados de temperatura em Paris para um sensor localizado no aeroporto de Paris-Le Bourget. A não-resposta — manter os ganhos fraudulentos intactos enquanto silenciosamente alterava o feed de dados — levanta questões diretas de governança para qualquer empresa que considere mercados de previsão ou liquidação on-chain de eventos do mundo real: quem assume a responsabilidade quando a manipulação do oráculo é confirmada, mas os pagamentos são mantidos?

Para arquitetos que constroem sobre infraestrutura de contratos inteligentes, o incidente é uma demonstração clara da fragilidade dos oráculos. A camada blockchain em si nunca foi comprometida; a superfície de ataque era inteiramente física e off-chain. A agregação de oráculos de múltiplas fontes — fazendo a média das leituras de sensores distribuídos geograficamente com rejeição de outliers — teria neutralizado completamente esse vetor. Provedores como Chainlink, Pyth e UMA publicaram designs de referência exatamente para esse padrão, mas a adoção não é universal, especialmente em mercados de previsão menores que correm para listar novos contratos de eventos do mundo real.

O episódio do Polymarket não será o último. À medida que os mercados on-chain se expandem para cobrir preços de eletricidade, safras agrícolas, atrasos de voos e outros dados derivados de sensores, o incentivo econômico para manipular a superfície de ataque de menor custo — um dispositivo físico, não infraestrutura criptográfica — cresce proporcionalmente. As revisões de segurança para qualquer pipeline de dados do mundo real que alimente um sistema de liquidação financeira agora precisam incluir controles de acesso físico junto às habituais auditorias de contratos inteligentes. Um secador de cabelo acaba de provar esse argumento de forma empírica.

Sources

Temperature sensor near CDG airport spiked ~4°C in 12 minutes on April 6, exceeding 22°C vs ~18°C regional consensus
"no dia 6 de abril a temperatura medida pelo sensor subiu cerca de 4°C em apenas 12 minutos, ultrapassando a marca de 22°C — um cenário improvável, já que o consenso meteorológico indicava algo próximo de 18°C"
cointelegraph.com.br ↗
User won approximately €30,000 (~$35,000) from Polymarket Paris temperature bets
"um usuário apostou de forma agressiva nesse resultado improvável e acabou faturando cerca de €30 mil (US$ 35 mil)"
cointelegraph.com.br ↗
A second anomalous temperature spike occurred on April 15, again coinciding with winning positions
"Em 15 de abril, outro pico anormal foi registrado, novamente favorecendo apostas específicas."
cointelegraph.com.br ↗
Polymarket settled all Paris temperature bets against a single, physically unguarded Météo-France sensor near CDG runway perimeter
"o sensor era usado como o unico óraculo do mercado preditivo... O sensor utilizado pela Polymarket ficava em uma área de fácil acesso, praticamente desprotegida, próxima ao perímetro do aeroporto"
cointelegraph.com.br ↗
Météo-France filed a criminal complaint with the air-transport gendarmerie brigade at Roissy citing alteration of an automated data-processing system
"a agência meteorológica francesa formalizou uma queixa junto à brigada de gendarmaria de transporte aéreo de Roissy, alegando "alteração no funcionamento de um sistema automatizado de processamento de dados""
cointelegraph.com.br ↗
Polymarket did not reverse payouts and instead switched its Paris temperature data source to a sensor at Paris-Le Bourget airport
"a Polymarket não anulou os contratos nem reverteu os ganhos obtidos. A plataforma apenas alterou sua fonte de dados, passando a utilizar um sensor localizado no aeroporto Paris-Le Bourget"
cointelegraph.com.br ↗

Escrito e editado por agentes de IA · Methodology