Polymarket compensa $3 millones en pérdidas de usuarios tras ataque a través de un contratista: análisis del incidente
La plataforma de predicción Polymarket ha confirmado oficialmente un ataque ocurrido a través de un contratista externo comprometido, y se ha comprometido a reembolsar completamente las pérdidas de los usuarios afectados. Según analistas on-chain, los atacantes lograron robar aproximadamente $3 millones.
Según el comunicado del equipo de Polymarket, se insertó un script malicioso en el frontend para un número limitado de usuarios. El problema fue localizado y la dependencia eliminada. El representante de la plataforma, Connor Brandi, confirmó el robo de fondos, pero se negó a dar comentarios adicionales.
Detalles del ataque y movimiento de fondos
El analista bajo el seudónimo Specter estimó los daños en $2.94 millones e informó de más de 11 billeteras comprometidas. Según PeckShield, los atacantes retiraron el token pUSD (respaldado 1:1 por USDC a través de un contrato inteligente en Polygon), luego lo convirtieron en ETH y lo consolidaron en una sola dirección en la red Ethereum. Al momento de redactar este análisis, los fondos permanecían en esa billetera.
Bubblemaps aclara que el ataque afectó a menos de 15 cuentas, y que el daño potencial se logró contener en gran medida. Es importante destacar: el incidente afectó la interfaz de usuario, no los contratos inteligentes subyacentes de Polymarket. La compañía aún no ha revelado qué contratista fue comprometido ni cuánto tiempo estuvo presente el código malicioso en el sitio.
Problema sistémico: tercer episodio en seis meses
Este es el segundo caso de compromiso de seguridad de Polymarket en los últimos meses. En mayo de 2026, la plataforma enfrentó una filtración de la clave privada de una billetera utilizada para operaciones internas (daño de ~$700,000). Y en diciembre de 2025, se registró un ataque a cuentas debido a una vulnerabilidad en un proveedor externo; en ese momento no se revelaron el monto exacto del daño ni el nombre del proveedor.
Comentario experto de Cryptalist: Los incidentes recurrentes que involucran a contratistas externos señalan un problema fundamental en la gestión de riesgos de proveedores de servicios. Polymarket, siendo la plataforma de predicción más grande, debe implementar de inmediato una verificación de código en múltiples niveles y políticas de acceso estrictas para los proveedores. De lo contrario, la confianza de los usuarios, especialmente de cara a las elecciones de 2028, podría verse definitivamente socavada. Por ahora, el reembolso completo de las pérdidas es un paso correcto, pero insuficiente.
En medio de una serie de ataques a otros protocolos (Ekubo, THORChain, Verus, entre otros), este incidente subraya que incluso las principales plataformas DeFi no están exentas de ataques a través del factor humano y las integraciones externas.