Polymarket asume la responsabilidad por el hackeo a través de un contratista: compensación de daños y una señal de alerta para DeFi
La plataforma de predicciones descentralizadas Polymarket ha declarado oficialmente la compensación total de todas las pérdidas de los usuarios afectados por el reciente ataque. El incidente, según se descubrió, estuvo relacionado con la compromisión de un contratista externo, lo que provocó la inserción de un script malicioso en la interfaz de usuario. Según datos preliminares de analistas on-chain, el monto total del daño ascendió a aproximadamente $3 millones.
Representantes de Polymarket aclararon que el ataque fue localizado y el código infectado eliminado. El equipo contactó a cada usuario afectado y garantizó la devolución completa de los fondos. Sin embargo, los detalles sobre qué contratista fue comprometido y cuánto tiempo permaneció activo el script malicioso aún no se revelan.
Detalles del ataque: cómo los atacantes retiraron los fondos
Según datos del servicio analítico PeckShield, los atacantes lograron retirar aproximadamente $3 millones en tokens pUSD de las billeteras de los usuarios afectados. El analista bajo el seudónimo Specter precisó que se vieron afectadas al menos 11 billeteras, y las pérdidas exactas ascendieron a unos $2,94 millones. Tras el retiro de fondos, los atacantes convirtieron pUSD en ETH y consolidaron todos los activos en una dirección de Ethereum, donde permanecen al momento de redactar este análisis. Es importante destacar: el ataque afectó exclusivamente la interfaz frontend de la plataforma, no sus contratos inteligentes.
Según datos de Bubblemaps, el número de cuentas afectadas no supera las 15, lo que sugiere que el ataque fue puntual y no masivo. No obstante, el hecho de que la vulnerabilidad surgiera a través de un contratista de confianza plantea serias preguntas sobre los procesos de seguridad en el ecosistema de Polymarket.
Problema sistémico: tercer incidente en seis meses
Este no es el primer caso en que Polymarket enfrenta una compromisión a través de servicios de terceros. En mayo de 2026, la plataforma informó sobre la filtración de la clave privada de una billetera utilizada para operaciones internas, lo que resultó en un daño de $700,000. Y en diciembre de 2025, ocurrió un pirateo de cuentas de usuarios debido a una vulnerabilidad en otro proveedor externo. Así, el ataque actual es el tercer episodio similar en los últimos seis meses, lo que indica un problema crónico en la gestión de riesgos relacionados con contrapartes externas.
En el contexto de los recientes pirateos de otros protocolos (Ekubo, THORChain, Verus), este incidente sirve como un recordatorio más de que incluso las plataformas DeFi grandes y populares no están exentas de ataques a través de la cadena de suministro. Polymarket actuó correctamente al asumir la responsabilidad y prometer compensación, pero para restaurar la confianza de los usuarios se necesitarán medidas más sistémicas de auditoría y monitoreo de todas las integraciones.
Opinión del experto: Polymarket demuestra un enfoque responsable al compensar rápidamente los daños. Sin embargo, tres incidentes en seis meses son una señal alarmante. El mercado no solo necesita "parches" rápidos, sino una reestructuración fundamental de los procesos de seguridad, especialmente en lo que respecta al trabajo con contratistas. Los usuarios deberían aumentar temporalmente su vigilancia al interactuar con la plataforma hasta que se implementen mecanismos de protección más sólidos.