Polymarket asume la responsabilidad: reembolso completo de pérdidas tras un ataque a través de un contratista por $3 millones
La plataforma de predicciones descentralizadas Polymarket ha declarado oficialmente que está dispuesta a compensar completamente las pérdidas de los usuarios afectados por el reciente ciberataque. Según el análisis on-chain, el incidente afectó a más de una docena de billeteras, y el daño total se estima en aproximadamente $3 millones.
Según el comunicado oficial del equipo, los atacantes comprometieron a un contratista externo, inyectando un script malicioso en el frontend de la plataforma para una parte de los usuarios. El problema se localizó rápidamente y se eliminó la dependencia infectada. Polymarket ya se está comunicando con los afectados y garantiza la compensación total de los fondos perdidos.
Detalles del ataque y movimiento de fondos
Los analistas de PeckShield confirmaron que el ataque fue de tipo phishing. Los atacantes retiraron tokens pUSD de las billeteras de las víctimas. Recordemos que pUSD es la stablecoin interna de Polymarket basada en Polygon, respaldada por USDC en una proporción de 1:1 a través de un contrato inteligente on-chain. Tras el robo, los activos se convirtieron en ETH y se transfirieron a una única dirección en la red Ethereum, donde, al momento de redactar el análisis, los fondos permanecían intactos.
El experto bajo el seudónimo Specter estimó el daño en $2.94 millones e identificó más de 11 direcciones afectadas. Los datos de Bubblemaps también indican que el ataque afectó a menos de 15 cuentas, y que el daño potencial se logró limitar en gran medida. Es importante destacar: el incidente solo afectó la interfaz de usuario, no los contratos inteligentes de la propia plataforma, lo que es una diferencia crítica con respecto a los ataques a nivel de protocolo.
Problema sistémico: tercer incidente en seis meses
Este no es el primer caso de fuga de seguridad para Polymarket. En mayo de 2026, la plataforma enfrentó la compromisión de la clave privada de una billetera para operaciones internas, lo que resultó en pérdidas de aproximadamente $700,000. Y en diciembre de 2025, se registró un hackeo de cuentas de usuarios debido a una vulnerabilidad en un proveedor externo. Según las declaraciones del equipo, ambos incidentes anteriores no afectaron los fondos principales de los usuarios ni los mercados autorizados.
Comentario analítico: Los ataques recurrentes a través de terceros son una señal alarmante para todo el ecosistema DeFi. Polymarket demuestra un enfoque correcto al asumir la responsabilidad financiera, pero la raíz del problema radica en un control insuficiente de la cadena de suministro de software. Mientras las plataformas no implementen verificaciones de múltiples niveles y el aislamiento de scripts de terceros, incidentes como este se repetirán, socavando la confianza en protocolos que parecen confiables.