Polymarket compensa $3 millones tras un ataque a través de un contratista comprometido: análisis del incidente
La plataforma de mercados de predicción Polymarket ha anunciado oficialmente la compensación total de las pérdidas de los usuarios afectados por un ciberataque llevado a cabo mediante la vulneración de un proveedor externo. Según estimaciones de analistas on-chain, los daños ascendieron a aproximadamente 3 millones de dólares. El incidente vuelve a plantear interrogantes sobre la seguridad de las aplicaciones descentralizadas, especialmente en lo que respecta a su dependencia de proveedores de infraestructura externos.
Detalles del ataque
Según la declaración del equipo de Polymarket, se introdujo un script malicioso en el frontend de la plataforma para una parte de los usuarios tras la compromisión de un contratista externo. El problema pudo ser localizado y la dependencia infectada, eliminada. El representante de la plataforma, Connor Brandi, confirmó el robo de fondos, pero se negó a hacer comentarios adicionales.
Los analistas de PeckShield estimaron los daños en 3 millones de dólares, mientras que el investigador bajo el seudónimo Specter precisó la cifra en 2,94 millones de dólares, señalando que se vieron afectadas más de 11 carteras. Según datos de Bubblemaps, el ataque afectó a menos de 15 cuentas y el daño potencial pudo limitarse en gran medida. Los atacantes retiraron tokens pUSD, respaldados por USDC en una proporción de 1:1 a través de un contrato inteligente en Polygon, para luego convertirlos en ETH y consolidarlos en una única dirección de Ethereum, donde los fondos permanecen en el momento de redactar este análisis.
La vulnerabilidad no son los contratos inteligentes, sino la interfaz
Es importante destacar: el ataque se dirigió a la interfaz de usuario, no a los contratos inteligentes subyacentes de Polymarket. Esto significa que el protocolo como tal no fue vulnerado; el problema residía en la infraestructura de confianza, pero débilmente protegida, del contratista. La empresa aún no ha revelado qué proveedor específico fue comprometido ni durante cuánto tiempo el código malicioso estuvo presente en el sitio.
Patrón recurrente
Este es ya el tercer incidente similar en los últimos seis meses. En mayo de 2026, Polymarket se enfrentó a la compromisión de la clave privada de una cartera para operaciones internas, lo que provocó pérdidas de aproximadamente 700.000 dólares. En diciembre de 2025, la plataforma informó de un ataque a cuentas de usuarios debido a una vulnerabilidad en un proveedor externo. El problema sistémico es evidente: Polymarket es víctima repetida de ataques no a través de su propio código, sino a través de terceros, lo que indica una auditoría insuficiente de las integraciones externas.
En un contexto de ataques cada vez más frecuentes a otros protocolos (Ekubo, THORChain, Verus, Echo y Map Protocol), este incidente es un recordatorio más: en DeFi, la seguridad de la cadena de suministro de software se está convirtiendo en un factor crítico que no se puede ignorar.
Mi análisis: La compensación de pérdidas es un paso correcto, pero tardío. Polymarket necesita revisar radicalmente su política de trabajo con contratistas e implementar una auditoría obligatoria de todas las dependencias externas. De lo contrario, la reputación de la plataforma, especialmente ante una posible presión regulatoria, se verá definitivamente socavada. El mercado de predicciones es demasiado valioso como para arriesgarlo por negligencia en la selección de proveedores.