Polymarket pagó el precio por ignorar las amenazas: las advertencias de abril se convirtieron en realidad.
La plataforma de predicciones descentralizadas Polymarket ha confirmado oficialmente un compromiso a través de un contratista externo. Se inyectó un script malicioso en la parte del cliente (frontend) para algunos usuarios. El equipo declaró que el incidente está localizado, la dependencia maliciosa ha sido eliminada y se está trabajando con los afectados para la compensación total de los fondos perdidos.
Sin embargo, lo que generó una resonancia mucho mayor no fue el ataque en sí, sino lo que lo precedió. Críticos y miembros de la comunidad recordaron que ya se había advertido abiertamente sobre la amenaza de este escenario en abril de 2026, pero estas señales fueron ignoradas, y quienes advirtieron fueron ridiculizados.
Crónica del incidente: desde la primera advertencia hasta el hackeo
Como explicó el equipo de Polymarket, el ataque ocurrió a través de un contratista comprometido, lo que permitió a los atacantes inyectar código malicioso en la interfaz de la plataforma. El problema afectó solo a una parte de la base de usuarios. Por el momento, la plataforma afirma que la amenaza ha sido neutralizada y que todas las pérdidas serán compensadas.
Advertencias de abril: "Se lo advertimos"
La principal queja de la comunidad no se dirige tanto al hecho del hackeo en sí, sino a la actitud de la dirección de la plataforma hacia los temas de seguridad. Un usuario de X, conocido como vxunderground, publicó capturas de pantalla fechadas el 28 de abril de 2026. En ellas se registran sus propias advertencias sobre la vulnerabilidad potencial y los riesgos asociados con presumir públicamente del nivel de ciberseguridad.
Según sus declaraciones, en abril Polymarket ridiculizó públicamente las discusiones sobre un posible compromiso que en ese momento no existía. El usuario afirma que advirtió al equipo: provocar a posibles atacantes es una forma segura de atraer su atención, especialmente para un objetivo tan destacado como una gran plataforma de predicciones. Estos argumentos, según él, quedaron sin respuesta.
Ahora, en su opinión, lo ocurrido solo confirma la razón de aquellos que fueron ridiculizados. También sugirió que este no será el último caso en que Polymarket y sus usuarios sean blanco de hackers. Anteriormente, ya habíamos informado sobre otros problemas de la plataforma, incluida la pérdida de $5,8 millones por parte de un trader en un solo día.
Comentario del analista: Esta situación es un ejemplo clásico del error del "efecto de exceso de confianza" en la seguridad de DeFi. Polymarket, siendo uno de los líderes del mercado, se había creado una reputación de fortaleza inexpugnable, lo que la convirtió en un objetivo ideal para ponerla a prueba. Ignorar las advertencias tempranas de la comunidad no es solo un fracaso en la comunicación, sino un error fundamental en la gestión de riesgos que podría costarle a la empresa la confianza de los usuarios. La compensación total de los daños es el mínimo, pero restaurar la reputación requerirá cambios mucho más profundos en la cultura de seguridad.