El contrato del adaptador UMA CTF de Polymarket en Polygon fue el objetivo de un presunto ataque señalado por el investigador on-chain ZachXBT, con pérdidas superiores a 520.000 $. El incidente demuestra una vez más cómo la composabilidad de DeFi convierte un único contrato adaptador en una superficie de riesgo a nivel de sistema para los protocolos que dependen de él.
Por qué importa
El adaptador UMA CTF es el puente entre las posiciones del Conditional Token Framework de Polymarket y el oráculo optimista de UMA —la capa de descubrimiento de precios que resuelve los resultados del mercado de predicciones. Un exploit allí no solo afecta a un contrato inteligente; compromete la integridad de los feeds de precios en los que confían mercados posteriores, incluida la exposición apalancada o sintética a las cuotas del mercado de predicciones. Para un venue que se ha autodefinido como el mayor mercado de predicciones del mundo, el coste reputacional y de contraparte va mucho más allá de la cifra en dólares.
Impacto en el mercado
Los dos contratos afectados y la dirección del atacante han sido identificados públicamente, lo que permite a los respondedores white-hat y al propio equipo de Polymarket rastrear el flujo. Con una pérdida de 520.000 $, el golpe es contenido —no se trata del vaciado de un puente de nueve cifras—, pero llega tras un año de exploits repetidos en mercados de predicciones y adaptadores de oráculos que han erosionado de forma constante la confianza en la capa de envoltorio entre las primitivas DeFi y sus aplicaciones consumidoras. Cabe esperar un análisis post-mortem sobre los controles de acceso del adaptador y un examen más detallado de cómo el oráculo optimista de UMA gestiona las resoluciones disputadas.
Preguntas frecuentes
-
¿Qué se explotó exactamente en Polymarket?
El contrato del adaptador UMA CTF en Polygon, que conecta las posiciones del Conditional Token Framework de Polymarket con el oráculo optimista de UMA —la capa que resuelve los resultados del mercado de predicciones. No es el AMM principal de Polymarket.
-
¿Cuánto se perdió en el exploit de Polymarket?
Las pérdidas superaron los 520.000 $ según el investigador on-chain ZachXBT, que fue quien primero señaló el incidente.
-
¿Qué contratos y direcciones están implicados?
Los contratos afectados son 0x871D7c0f9E19001fC01E04e6cdFa7fA20f929082 y 0x91430CaD2d3975766499717fA0D66A78D814E5c5. La dirección del atacante es 0x8F98075db5d6C620e8D420A8c516E2F2059d9B91.
-
¿Quién informó del ataque a Polymarket?
El investigador on-chain ZachXBT emitió una alerta comunitaria tras detectar actividad sospechosa en el contrato adaptador.
-
¿Por qué importa una pérdida de 520.000 $ para un venue de este tamaño?
La cifra es contenida, pero la capa explotada es el puente del oráculo que utilizan mercados posteriores y la exposición sintética. Un compromiso allí afecta a la resolución de resultados y a los feeds de precios, no solo al monedero de un usuario.