Polymarket asume la responsabilidad: reembolso completo de pérdidas tras el hackeo a través de un contratista
La plataforma de predicciones descentralizadas Polymarket ha anunciado oficialmente la compensación total de los fondos a los usuarios afectados tras un reciente ataque que afectó la parte del cliente del sitio. El incidente ocurrió debido a la compromisión de un contratista externo, lo que permitió a los atacantes insertar un script malicioso en la interfaz para algunos visitantes. Según estimaciones de analistas on-chain, el daño ascendió a aproximadamente $3 millones.
Detalles del ataque: no contratos inteligentes, sino frontend
Según la declaración del equipo, el problema se localizó rápidamente y la dependencia infectada se eliminó. Es importante destacar: el ataque afectó exclusivamente la interfaz de usuario, no los contratos inteligentes subyacentes de Polymarket. Esto significa que la lógica misma de los mercados de predicciones y los fondos almacenados en el protocolo permanecieron intactos. Los atacantes se centraron en un esquema de phishing dirigido a las billeteras de los usuarios.
El analista bajo el seudónimo Specter registró la retirada de fondos de más de 11 billeteras por un valor aproximado de $2,94 millones. Los tokens pUSD robados, que según la documentación de la plataforma están respaldados por USDC en una proporción de 1:1 a través de un contrato on-chain en Polygon, se convirtieron en ETH y se reunieron en una única dirección de Ethereum, donde al momento de redactar este artículo los fondos aún permanecían.
Tendencia alarmante: tercer incidente en seis meses
No es la primera vez que Polymarket enfrenta problemas de seguridad a través de terceros. En mayo de 2026, la plataforma ya informó sobre la compromisión de una clave privada para operaciones internas, lo que resultó en una pérdida de aproximadamente $700,000. Y en diciembre de 2025, ocurrió un hackeo de cuentas de usuarios debido a una vulnerabilidad en otro proveedor. El hecho de que este sea el tercer episodio similar en los últimos seis meses plantea serias preguntas sobre los procesos de auditoría y gestión de riesgos al seleccionar contratistas.
Mi análisis: Polymarket demuestra un enfoque correcto al asumir rápidamente la responsabilidad financiera. Sin embargo, la naturaleza recurrente de los ataques a través de contratistas indica un problema sistémico en la gestión de la cadena de suministro de software. Para una plataforma descentralizada que aspira a ser líder en el ámbito de los mercados de predicciones, la falta de un entorno aislado para el código de terceros y un proceso formal de verificación de actualizaciones es una vulnerabilidad que será explotada nuevamente hasta que se elimine a nivel arquitectónico.