El investigador blockchain ZachXBT señaló el miércoles un presunto fallo de seguridad en Polymarket tras el drenaje de más de 520.000 dólares desde dos contratos inteligentes controlados por Polymarket en la blockchain de Polygon. Los fondos se enviaron a una única dirección del atacante en cuestión de horas, según los datos on-chain compartidos por ZachXBT.
Los desarrolladores de Polymarket respondieron en X que el incidente se debió a un compromiso de clave privada vinculado a una billetera interna de operaciones conectada al sistema de pagos de recompensas de la plataforma. El equipo insistió en que los fondos de los usuarios y la resolución de los mercados no se han visto afectados, y presentó el episodio como un fallo de seguridad operativa y no como un exploit de smart contract ni una brecha en la infraestructura central. La compañía aún no ha publicado un comunicado desde su cuenta principal.
Por qué importa
El vector de ataque importa tanto como la cifra en dólares. Un compromiso de clave privada en una billetera operativa es categóricamente distinto de un bug en un smart contract: significa que la lógica on-chain del protocolo resistió, pero que un firmante gestionado por personas no. Esa distinción explica por qué el mensaje de Polymarket se apoya en la seguridad de los fondos de los usuarios, y por qué los investigadores forenses tratarán esto como una intrusión dirigida y no como un fallo sistémico.
La brecha se produce, además, en un momento de mayor escrutinio sobre las plataformas DeFi, donde la gestión operativa de claves ha demostrado repetidamente ser el eslabón más débil en codebases por lo demás auditados. Varios exploits de varios millones de dólares a lo largo del último año se remontaban a claves de firmantes comprometidas, no a la lógica del protocolo, un patrón que ZachXBT ha documentado de forma exhaustiva.
Impacto en el mercado
El impacto directo en el mercado es contenido. Polymarket es una plataforma de predicción, no un protocolo de liquidez, así que los fondos drenados no representan depósitos de usuarios bajo custodia. El efecto de segundo orden más medible es el reputacional: la credibilidad de un mercado de predicciones depende de la integridad de la resolución, y cualquier narrativa, incluso una corregida, sobre billeteras comprometidas puede ralentizar la incorporación institucional y presionar la actividad de trading de POL vinculada al conjunto del ecosistema DeFi de Polygon.
Preguntas frecuentes
-
¿El exploit de Polymarket fue un bug en un smart contract?
No. Los desarrolladores de Polymarket dijeron que el incidente se debió a un compromiso de clave privada en una billetera interna de operaciones vinculada al sistema de pagos de recompensas, no a un fallo en los smart contracts del protocolo ni en la infraestructura central del mercado.
-
¿Cuánto se robó en la brecha de Polymarket en Polygon?
Se drenaron más de 520.000 dólares de dos contratos inteligentes controlados por Polymarket en Polygon, según los datos on-chain compartidos por el investigador ZachXBT. Los fondos se enviaron a una única dirección del atacante.
-
¿Están seguros los fondos de los usuarios en Polymarket tras el exploit?
Los desarrolladores de Polymarket afirmaron que los fondos de los usuarios y la resolución de los mercados no se han visto afectados, porque la billetera comprometida estaba ligada al sistema interno de pagos de recompensas, no a los depósitos de usuarios ni a la custodia de los mercados.
-
¿Quién señaló la brecha de seguridad de Polymarket?
El investigador blockchain ZachXBT señaló públicamente la presunta brecha y compartió las dos direcciones controladas por Polymarket afectadas, junto con la dirección del atacante, en la blockchain de Polygon.
-
¿Ha publicado Polymarket un comunicado oficial sobre el exploit?
Los desarrolladores de Polymarket respondieron a través de X, pero la compañía aún no había publicado un comunicado oficial desde su cuenta principal en el momento de la información. Se esperan más actualizaciones del equipo.