Polymarket, el mayor mercado de predicciones en blockchain por volumen, perdió aproximadamente $3,1 millones de fondos de usuarios debido a un ataque iniciado el 25 de junio de 2026. La cifra de pérdida se revisó al alza solo días después de que la plataforma prometiera públicamente reembolsos completos a los usuarios afectados. Los atacantes no vulneraron los contratos inteligentes que liquidan las apuestas en Polymarket. El acceso se logró a través del sitio web, tras la vulneración de un proveedor externo que suministraba código al front-end. Así, se insertó un script malicioso en la página que ven los usuarios en su navegador. Once billeteras de usuarios fueron vaciadas, los fondos robados se cambiaron del token estable de Polymarket a aproximadamente 1.893 ETH y fueron trasladados a direcciones controladas por los atacantes.
El momento del ataque es relevante: constituye la segunda falla de seguridad en unas cinco semanas, y la promesa de reembolso coincidió con la revisión al alza del daño. A continuación, se detalla lo sucedido, por qué el momento importa y qué revela sobre el riesgo de custodia en mercados de predicción y plataformas de DeFi en general.
¿Qué sucedió en el hackeo de Polymarket?
El ataque fue una vulneración en la cadena de suministro, no una explotación del contrato inteligente. Los contratos on-chain de Polymarket funcionaron como se diseñaron. El punto débil fue la capa web entre el usuario y esos contratos: un proveedor externo de código para el front-end fue comprometido, lo que permitió al atacante inyectar un script malicioso en la página. Al cargarla, el script se ejecutaba silenciosamente en el navegador e inducía a los usuarios a firmar transacciones de billetera que no pretendían autorizar. Las firmas parecían habituales, por lo que no surgieron alertas.
El objetivo fue el pUSD, la stablecoin de Polymarket, respaldada por USDC. Una vez que el atacante controló los fondos drenados, cambió pUSD por Ethereum, trasladó los fondos de Polygon a la red principal de Ethereum y consolidó todo en una sola billetera. La estimación inicial era de aproximadamente $2,9 millones, cifra que se ajustó a unos $3,1 millones al contabilizar más billeteras afectadas, lo que hizo que la revisión posterior a la promesa de reembolso generara desconfianza.
En términos sencillos: la bóveda nunca fue forzada. Alguien manipuló el teclado de la puerta para que, al intentar realizar una operación normal, en realidad estuvieras autorizando un retiro a un tercero. Por eso una stablecoin en tu propia billetera pudo salir. Los contratos resistieron; la interfaz fue el problema.
¿Por qué importa el momento tras la promesa de reembolso?
Polymarket actuó rápidamente en su comunicación. Tras confirmarse la brecha, el equipo eliminó la dependencia comprometida, corrigió la vulnerabilidad y se comprometió a reembolsar totalmente a los tenedores de pUSD afectados. Esta es la respuesta adecuada: reconocer la pérdida, solucionar la falla y compensar a los usuarios. Sin embargo, la secuencia fue problemática: la promesa de reembolso se dio antes de que la cifra de pérdida subiera de $2,9 a $3,1 millones, lo cual puede percibirse como apresurado y poco tranquilizador.
La confianza en una plataforma depende de la diferencia entre lo que promete el equipo y lo que confirma la realidad. Si una empresa promete cubrir las pérdidas y luego éstas aumentan, los usuarios se preguntan: ¿La cifra final es $3,1 millones o podría aumentar? Esa incertidumbre afecta más a la reputación que el monto en sí.
Hay un efecto adicional. Polymarket se posiciona como un lugar donde se puede operar sobre resultados reales con dinero real, basándose en la seguridad de los fondos mientras se resuelven los eventos. Un drenaje que afecta directamente a los usuarios, justo después de una declaración de confianza, debilita ese argumento central.
Problemas recientes de seguridad y regulación en Polymarket
No fue un evento aislado. El 22 de mayo de 2026, investigadores on-chain detectaron otro incidente (cubierto en la sección de mercados de CoinDesk) en el que se drenaron entre $520.000 y $700.000 de billeteras operacionales internas utilizadas para pagos de premios en Polygon. Ese ataque se atribuyó a una clave privada que permaneció activa durante seis años. En esa ocasión, los fondos de los usuarios no se vieron afectados y el equipo aseguró la seguridad de los saldos, pero dos brechas en menos de dos meses indican un patrón. El incidente de mayo afectó la infraestructura interna, el de junio a los usuarios. Diferentes superficies de ataque, pero una conclusión incómoda: demasiadas puertas abiertas.
Los problemas de seguridad coincidieron con un mayor escrutinio regulatorio. La Commodity Futures Trading Commission (CFTC) abrió una investigación sobre las prácticas de marketing de Polymarket, centrada en una campaña promocional que utilizó creadores en redes sociales para publicar videos de operaciones simuladas y ganancias exageradas, a menudo sin divulgar que recibían compensación. Según informes de junio de 2026, gran parte de más de 1.100 videos mostraban apuestas simuladas. Los senadores John Curtis y Adam Schiff enviaron una carta a la CFTC solicitando respuestas para el 10 de julio de 2026.
Resumen cronológico:
| Fecha | Evento | Quién fue afectado |
|---|---|---|
| 22 de mayo de 2026 | Billeteras internas vaciadas por una clave privada de seis años | Operaciones internas, no usuarios |
| 20 de junio de 2026 | Reportes sobre videos promocionales engañosos | Reputacional, regulatorio |
| 25 de junio de 2026 | Hack de la cadena de suministro del front-end afecta billeteras de usuarios | Usuarios directamente |
| 26 de junio de 2026 | Se anuncia compromiso de reembolso a tenedores de pUSD afectados | Usuarios afectados |
| Días después | La cifra de pérdida se revisa a $3,1 millones | Usuarios afectados |
| 10 de julio de 2026 | Fecha solicitada de respuesta de la CFTC sobre la investigación de marketing | Plataforma, reguladores |
¿Qué pueden esperar los usuarios afectados?
Para las once billeteras afectadas, la promesa es un reembolso completo en valor pUSD. Polymarket ha declarado que compensará a los usuarios y ha eliminado la dependencia comprometida que permitió el ataque. Si tenías pUSD y no interactuaste con el mensaje malicioso durante el periodo, tus fondos no estuvieron en riesgo. El ataque requería una firma, por lo que solo se drenaron las billeteras que autorizaron involuntariamente la transacción.
La recuperación de los fondos robados es un tema aparte y más lento. Según el seguimiento, los 1.893 ETH consolidados no se han movido de las direcciones controladas por el atacante, lo que deja una pista clara para los investigadores y equipos de cumplimiento de exchanges. Puedes seguir el saldo en exploradores como Etherscan. La posibilidad de congelar o recuperar los fondos depende de los movimientos futuros del atacante.
Para el resto de usuarios, la lección es sobre comportamiento: trata cada solicitud de firma como una decisión relevante. Lee cuidadosamente lo que tu billetera te pide autorizar. Los usuarios afectados no actuaron negligentemente; el problema fue la interfaz en la que confiaban. Esta enseñanza se aplica a cualquier plataforma.
Lecciones de custodia y seguridad para mercados de predicción y DeFi
El hecho incómodo de este ataque es que los contratos inteligentes funcionaron correctamente. La mayoría de los debates en cripto se centran en auditorías y exploits on-chain, pero muchas pérdidas actuales provienen de capas periféricas. Lo sucedido en Polymarket es un ejemplo claro y sigue el patrón de otros recientes dranajes de DeFi y exploits en puentes donde el punto de falla está en los límites entre sistemas.
Algunos principios clave:
- El riesgo en el front-end es un riesgo real de custodia. Un contrato auditado no te protege si el sitio web ha sido manipulado. El movimiento de fondos depende de la firma que apruebas, no solo del código.
- Las dependencias de terceros son superficie de ataque. Un proveedor desconocido puede convertirse en la vía de entrada. Las vulneraciones en la cadena de suministro afectan al eslabón más débil.
- La custodia caliente implica exposición a riesgo. Los fondos en una billetera conectada a una app web están tan seguros como la dependencia más vulnerable de esa app.
- La higiene de la firma es la última línea de defensa del usuario. Verifica dirección, token y monto. Todo el modelo de negocio de los "drainers" se basa en que no revises lo que firmas.
- Las promesas de reembolso no son lo mismo que la recuperación de fondos. Un reembolso compensa la pérdida, pero no revierte la brecha ni garantiza que la cifra no se revise al alza.
Esto no es exclusivo de los mercados de predicción, aplica a cualquier plataforma donde conectes una billetera y autorices transacciones vía web. El medio cambia, pero la mecánica del robo es la misma.
Preguntas frecuentes
¿Es seguro Polymarket?
Los contratos inteligentes no fueron explotados, pero la plataforma ha sufrido dos incidentes de seguridad en cinco semanas (uno interno y otro directo a usuarios). El equipo solucionó la dependencia afectada y prometió reembolsos. Sin embargo, el patrón recurrente invita a limitar el saldo mantenido y revisar cada solicitud de firma.
¿Qué ocurrió en Polymarket?
El 25 de junio de 2026, atacantes comprometieron un proveedor externo que suministraba código al front-end e inyectaron un script malicioso en el sitio, drenando alrededor de $3,1 millones en pUSD de once billeteras. Los fondos se convirtieron en 1.893 ETH y se trasladaron a Ethereum, donde los investigadores siguen el rastro.
¿Polymarket reembolsará a los usuarios?
Polymarket se ha comprometido públicamente a reembolsar a los tenedores de pUSD afectados y afirma haber eliminado la dependencia que permitió el ataque. El reembolso aplica a las once billeteras drenadas; la recuperación on-chain depende de si los ETH consolidados son congelados o retornados antes de ser dispersados.
¿Cómo sucedió el hackeo si los contratos no fueron explotados?
El ataque apuntó a la capa web, no a la blockchain. Un proveedor comprometido permitió un script malicioso en el front-end, que llevó a los usuarios a firmar transacciones que autorizaron el drenaje, aunque los contratos funcionaron conforme a lo previsto. Más información en mercados de predicción.
Conclusión
El ataque a Polymarket fue un fallo en el front-end y la cadena de suministro, con un coste para los usuarios de aproximadamente $3,1 millones. Lo más relevante no fue la suma, sino la secuencia: una promesa de reembolso seguida de un ajuste al alza en la pérdida, sumado a un incidente previo en mayo y una investigación de la CFTC. Tres aspectos a vigilar: ¿la cifra final se mantiene?, ¿los ETH consolidados se mueven?, ¿la próxima comunicación revela un nuevo incidente? La lección es aplicable a cualquier plataforma: el verdadero riesgo es el sitio web y sus dependencias, no solo el contrato. Controla lo que firmas y considera limitar los saldos en apps web. Aprende sobre custodia propia de activos como Bitcoin antes de que sea necesario.
Este artículo es solo para fines informativos y no constituye asesoría financiera o de inversión. El trading de criptomonedas implica riesgos significativos. Realiza tu propio análisis antes de tomar decisiones de inversión.
