Ataque a Polymarket a través de un contratista externo: la plataforma promete una compensación total por las pérdidas
La plataforma de mercados de predicción Polymarket ha confirmado un ataque que resultó en el robo de aproximadamente $3 millones a los usuarios. El incidente ocurrió debido a la compromisión de un contratista externo, lo que permitió a los atacantes inyectar un script malicioso en el frontend del sitio. Los representantes de Polymarket declararon que ya han localizado el problema y eliminado la dependencia peligrosa, y que los usuarios afectados recibirán una compensación total por los daños.
Detalles del ataque y magnitud del daño
Según analistas on-chain, el ataque afectó a menos de 15 cuentas. Los atacantes retiraron tokens pUSD de las billeteras de los usuarios. Recordemos que pUSD es la stablecoin propia de Polymarket en la red Polygon, respaldada por USDC en una proporción de 1:1 a través de un contrato inteligente. Tras la retirada, los activos robados se convirtieron en ETH y se reunieron en una única dirección de Ethereum. En el momento del análisis, los fondos permanecían en esa dirección, lo que sugiere que los atacantes podrían estar esperando un momento favorable para blanquearlos.
Es importante destacar: el ataque se dirigió específicamente a la interfaz de usuario, no a los contratos inteligentes de la plataforma. Esto significa que la infraestructura subyacente de Polymarket permaneció intacta, lo que reduce algo los riesgos sistémicos, pero no minimiza la gravedad del incidente para los afectados.
Tendencia alarmante: tercer incidente en seis meses
No es la primera vez que Polymarket enfrenta problemas de seguridad. En mayo de 2026, la plataforma informó de la compromisión de la clave privada de una billetera utilizada para operaciones internas. En esa ocasión, el daño ascendió a unos $700,000, aunque los fondos de los usuarios no se vieron oficialmente afectados. Y en diciembre de 2025, se produjo el hackeo de varias cuentas debido a una vulnerabilidad en un proveedor externo; en ese momento no se revelaron las cantidades exactas ni el número de afectados.
Esta recurrencia de incidentes, especialmente con la participación de contratistas externos, plantea serias dudas sobre los procesos de diligencia debida y gestión de riesgos en Polymarket. Para una plataforma que aspira al liderazgo en el sector de los mercados de predicción, estos "problemas de crecimiento" en materia de seguridad son inaceptables.
Mi comentario experto
A pesar de la rápida respuesta y la promesa de compensación total, Polymarket necesita revisar radicalmente su modelo de seguridad. Los ataques repetidos a través de contratistas externos indican un problema sistémico en la cadena de suministro de software. El mercado no solo necesita promesas de compensación, sino auditorías transparentes y la implementación de protección multicapa, incluido el aislamiento de componentes críticos de dependencias externas. De lo contrario, el próximo incidente podría ser fatal para la confianza de los usuarios.