Polymarket asume la responsabilidad: reembolso completo de pérdidas tras un hackeo a través de un contratista por $3 millones
La plataforma de predicciones descentralizadas Polymarket ha confirmado oficialmente la vulneración de su infraestructura frontend a través de un proveedor externo. Los atacantes insertaron un script malicioso que afectó a una parte de los usuarios y, según analistas on-chain, robaron aproximadamente $3 millones en tokens pUSD. La administración del proyecto prometió compensar completamente todas las pérdidas a los afectados.
Detalles del ataque: el contratista bajo ataque
El incidente fue detectado por el equipo de Polymarket durante una monitorización rutinaria. Se descubrió que un contratista externo, responsable de parte del código del cliente, fue comprometido. Esto permitió a los atacantes insertar un script malicioso directamente en el frontend del sitio, que luego interceptaba transacciones o datos de autorización de un grupo reducido de usuarios. La plataforma aisló rápidamente el problema y eliminó la dependencia infectada.
Según informes de los detectives on-chain de PeckShield y del analista bajo el seudónimo Specter, el daño ascendió a entre $2,94 millones y $3 millones. Los atacantes atacaron al menos 11 billeteras, retirando tokens pUSD, que estaban vinculados a USDC en una proporción de 1:1 en Polygon. Tras el robo, los fondos se convirtieron a ETH y se trasladaron a una única dirección en la red Ethereum, donde permanecen en el momento de la publicación del análisis. Es importante destacar: el ataque afectó específicamente a la interfaz de usuario, no a los contratos inteligentes subyacentes de Polymarket, lo que excluye un riesgo global a nivel de protocolo.
Los investigadores de Bubblemaps precisaron que el número de cuentas afectadas no supera las 15, lo que confirma la naturaleza selectiva del ataque. Sin embargo, la identidad exacta del contratista comprometido y la duración de la presencia del código malicioso en el sitio aún no se revelan.
Tendencia alarmante: tercer incidente en seis meses
Este no es el primer caso de violación de seguridad para Polymarket. En mayo de 2026, la plataforma ya enfrentó la vulneración de la clave privada de una billetera utilizada para operaciones internas, lo que provocó pérdidas de aproximadamente $700,000. Y en diciembre de 2025, se produjo un hackeo de cuentas de usuarios a través de una vulnerabilidad en otro proveedor externo. Por lo tanto, el ataque actual es ya el tercer episodio similar en los últimos seis meses, lo que indica un problema sistémico en la gestión de la cadena de suministro (supply chain) y el control de las integraciones de terceros.
Mi análisis: Polymarket demuestra un enfoque correcto al asumir la responsabilidad financiera y garantizar una compensación total. Esto fortalece la confianza de la comunidad a corto plazo. Sin embargo, los ataques recurrentes a través de contratistas son una señal alarmante. El proyecto necesita revisar radicalmente su política de seguridad: implementar auditorías obligatorias del código de todas las bibliotecas de terceros, utilizar entornos aislados para la ejecución de scripts y endurecer los requisitos para los proveedores. De lo contrario, los riesgos reputacionales podrían superar las compensaciones financieras.