La plataforma de mercados de predicción Polymarket confirmó que su sitio web fue comprometido a través de un proveedor externo, lo que permitió a un grupo de atacantes sustraer millones de dólares en criptomonedas a sus usuarios. La compañía aseguró que reembolsará a quienes resultaron afectados por el incidente.
Según la información difundida por la propia empresa, los responsables lograron infiltrarse explotando una vulnerabilidad en un vendedor de servicios de terceros, un eslabón habitual en este tipo de ataques que evita comprometer directamente los contratos inteligentes del protocolo. El ataque se concentró en la capa de interfaz, es decir, en el sitio web con el que interactúan los usuarios, y no en la infraestructura de fondo.
Qué se sabe del ataque
De acuerdo con los reportes, los atacantes habrían manipulado el sitio para redirigir transacciones o inducir aprobaciones maliciosas, una técnica frecuente en los compromisos de front-end (la parte visible de una aplicación web). Este tipo de exploits no requiere romper la seguridad del protocolo subyacente, sino engañar al usuario en el momento de firmar una operación desde su billetera.
Polymarket comunicó la situación a través de su cuenta oficial en X, donde reconoció el incidente y anunció su compromiso de compensar a los usuarios damnificados. La empresa señaló que el problema se originó en el proveedor externo y que trabaja para reforzar sus controles de seguridad.
Analistas en cadena también siguieron el rastro de los fondos. La firma de análisis Bubblemaps documentó el movimiento de los activos sustraídos, mientras que en exploradores públicos como Etherscan quedó registrada una dirección vinculada al ataque. La trazabilidad pública de las transacciones es una de las herramientas que facilita el seguimiento del dinero robado, aunque no siempre permite su recuperación.
El riesgo de los proveedores externos
El caso de Polymarket vuelve a poner el foco en una de las vulnerabilidades más persistentes del ecosistema cripto: la dependencia de servicios de terceros. Numerosos protocolos descentralizados confían en proveedores externos para tareas como el alojamiento web, los sistemas de nombres de dominio o las bibliotecas de código. Un compromiso en cualquiera de esos puntos puede exponer a los usuarios incluso cuando los contratos inteligentes permanecen intactos.
Este tipo de ataques —conocidos como exploits de la cadena de suministro— se ha multiplicado en los últimos años, afectando a plataformas de finanzas descentralizadas (DeFi) y a aplicaciones que, pese a operar sobre blockchain, mantienen componentes centralizados en su capa de presentación.
Reembolso y antecedentes
La promesa de reembolso busca contener el daño reputacional para una plataforma que en los últimos años se consolidó como uno de los principales mercados de predicción del mundo cripto, con volúmenes elevados durante eventos políticos y deportivos de alto interés. La compañía no detalló públicamente el monto total comprometido ni el número exacto de usuarios afectados.
Para los usuarios, el episodio refuerza la importancia de revisar con atención cada transacción antes de firmarla y de mantener precauciones adicionales, como verificar las aprobaciones de gasto otorgadas a las aplicaciones. La seguridad en el entorno descentralizado no depende únicamente del protocolo, sino también de las múltiples capas de software que lo rodean.
El incidente llega en un momento de creciente escrutinio sobre la solidez de las plataformas de predicción y servirá como prueba de la capacidad de Polymarket para responder ante una crisis y restituir la confianza de su comunidad.
