Polymarket asume la responsabilidad: reembolso completo tras un ataque de $3 millones a través de un contratista
El mercado de predicciones Polymarket confirmó oficialmente el compromiso de su infraestructura a través de un proveedor externo y prometió compensar completamente las pérdidas de los usuarios afectados. Según estimaciones de analistas on-chain, los atacantes lograron retirar activos por un valor de aproximadamente $3 millones.
Detalles del incidente
El ataque fue detectado en la mañana del 25 de junio de 2026. Según se descubrió, se inyectó un script malicioso en el frontend de la plataforma para una parte de los usuarios a través de un contratista externo comprometido. El equipo de Polymarket localizó rápidamente el problema y eliminó la dependencia infectada. El representante de la plataforma, Connor Brandi, confirmó el robo de fondos, pero se negó a hacer comentarios adicionales.
Según datos de la plataforma analítica PeckShield, el daño ascendió a aproximadamente $3 millones. El analista bajo el seudónimo Specter precisó la cifra en $2.94 millones e informó de más de 11 billeteras afectadas. Bubblemaps, por su parte, registró menos de 15 cuentas afectadas y publicó parte de sus direcciones, señalando que el daño potencial se logró contener en su mayoría.
Aspectos técnicos y movimiento de fondos
Los atacantes retiraron tokens pUSD de las billeteras de los usuarios. Recordemos que pUSD es el token propio de Polymarket en la red Polygon, respaldado por USDC en una proporción 1:1 a través de un contrato inteligente on-chain. Tras el robo, los hackers convirtieron los activos robados en ETH y los consolidaron en una única dirección de Ethereum, donde los fondos permanecen al momento de redactar este análisis. Es importante destacar: el ataque afectó exclusivamente la interfaz de usuario, no los contratos inteligentes de la propia plataforma. Polymarket aún no revela qué contratista fue hackeado ni cuánto tiempo estuvo presente el código malicioso en el sitio.
Problema sistémico: tercer episodio en seis meses
Este es ya el segundo incidente de seguridad de Polymarket en los últimos meses. En mayo de 2026, la plataforma enfrentó el compromiso de la clave privada de una billetera utilizada para operaciones internas de recarga de cuentas. En aquella ocasión, el daño fue de aproximadamente $700,000, aunque los fondos de los usuarios, según la plataforma, no se vieron afectados. En un contexto más amplio, este es el tercer caso similar en seis meses: en diciembre de 2025, Polymarket informó del hackeo de varias cuentas debido a una vulnerabilidad en un proveedor externo, sin revelar ni el monto ni el número de afectados.
Mi análisis: Polymarket demuestra un enfoque responsable al asumir la responsabilidad financiera, pero tres incidentes en seis meses son una señal de alerta para toda la industria. La dependencia de contratistas externos se está convirtiendo en un punto crítico de fallo. Los usuarios deberían reflexionar: la seguridad de las plataformas DeFi a menudo vale exactamente lo que vale el tercero más débil en su pila tecnológica.