La plataforma de mercados de predicción Polymarket perdió 3,1 millones de dólares después de que unos atacantes comprometieran un proveedor externo de frontend y drenaran fondos de 11 billeteras de usuarios.
Los contratos inteligentes propios de la plataforma, que habían sido auditados, permanecieron intactos durante todo el incidente.
Según un informe, los tokens PUSD robados se movieron de Polygon (POL) a Ethereum (ETH) a través de un puente entre cadenas. Polymarket no ha hecho público el nombre del proveedor comprometido.
Cómo funcionó el ataque
Los ataques al proveedor de frontend apuntan a la interfaz web que conecta a los usuarios con los contratos subyacentes de una plataforma. Los contratos inteligentes en sí mismos custodian y gestionan los fondos, pero los usuarios interactúan mediante una capa basada en navegador creada y mantenida por proveedores de software de terceros.
En este caso, los atacantes aparentemente inyectaron código malicioso en esa capa de interfaz. Los usuarios afectados que interactuaron con el frontend de Polymarket durante la ventana del ataque vieron sus aprobaciones de billetera redirigidas. Once billeteras perdieron fondos antes de que se detectara la brecha.
El hecho de que los contratos inteligentes hayan pasado auditorías ofrece una protección limitada cuando el vector de ataque se encuentra por encima de la capa del contrato.
La investigación regulatoria aumenta la presión tras el incidente de seguridad
Polymarket opera bajo una atención regulatoria elevada desde que la Comisión de Negociación de Futuros de Materias Primas (CFTC) inició una investigación sobre el acceso de usuarios estadounidenses a la plataforma. La investigación de la CFTC, que se ha prolongado hasta 2026, se centra en si los mercados de predicción de Polymarket constituyen contratos de materias primas no registrados disponibles para usuarios estadounidenses.
La plataforma atrajo la atención del público general durante el ciclo electoral estadounidense de 2024, cuando sus mercados se citaron ampliamente en la cobertura mediática sobre las probabilidades de la carrera presidencial. Esa visibilidad trajo tanto crecimiento de usuarios como escrutinio regulatorio. La combinación de una investigación activa de la CFTC y un incidente de seguridad de alto perfil crea una presión reputacional acumulada para los operadores de la plataforma.
La seguridad en los mercados de predicción ha sido una preocupación recurrente en el sector. Los ataques al frontend son particularmente difíciles de prevenir porque se basan en comprometer a proveedores externos en lugar del protocolo central. Varias plataformas DeFi han sufrido compromisos similares de tipo cadena de suministro en los últimos dos años.
También lee: Micron se convierte en la nueva obsesión de Wall Street por la IA tras subir un 236 %
Qué viene después
Polymarket no ha confirmado si los usuarios afectados recibirán compensación. La plataforma tampoco ha revelado la identidad del proveedor comprometido, lo que limita las revisiones de seguridad de terceros sobre la cadena de ataque.
La investigación de la CFTC añade una capa de complejidad. Cualquier declaración pública sobre el hackeo podría cruzarse con los procedimientos regulatorios en curso. El movimiento de los fondos robados hacia Ethereum a través de un puente hace que su rastreo sea posible en principio, aunque las recuperaciones en exploits a proveedores de frontend son poco frecuentes sin la intervención de las fuerzas del orden.
Lee a continuación: HIVE acaba de pedir prestados 115 millones de dólares al cero por ciento para apostar contra la minería de Bitcoin