El investigador en cadena ZachXBT identificó el 22 de mayo un posible compromiso de clave privada que drenó aproximadamente $600,000 de una dirección vinculada a Polymarket en Polygon. El atacante retiró alrededor de 5,000 POL cada 20-30 segundos antes de que se rotaran las claves. Josh Stevens, vicepresidente de ingeniería de Polymarket, confirmó después que la causa fue una clave privada de seis años asociada a una billetera interna de recarga, no a los contratos inteligentes ni a los saldos de los clientes. Esta distinción es relevante porque la forma en que ocurre una sustracción determina el riesgo para usuarios individuales más que para los equipos de protocolo.
Esto no fue un exploit del protocolo Polymarket, sino un compromiso a nivel de cuenta, similar a cómo cualquier usuario de autocustodia mantiene fondos en Polygon. Por eso el incidente es relevante para todos los usuarios.
Qué detectó ZachXBT y qué muestra la actividad en cadena
La primera alerta pública de ZachXBT el 22 de mayo apuntó al contrato UMA CTF Adapter en Polygon, que Polymarket utiliza junto al oráculo optimista de UMA para liquidar mercados. Inicialmente, se informó una pérdida de $520,000 en POL y USDC.e, y en pocas horas la cifra superó los $600,000, ya que los retiros automatizados vaciaban la dirección en ciclos de 20 a 30 segundos.
El patrón mecánico evidenció el ataque. Un humano no mueve fondos en lotes idénticos cada 20 segundos durante horas; los scripts sí. Un drenaje automatizado indica que el atacante ya tenía autoridad de firma y solo vaciaba los saldos conforme llegaban, lo que es característico de una filtración de clave privada y no de un fallo en el contrato.
La respuesta de ingeniería de Polymarket, publicada pocas horas después, indicó que los contratos no se vieron comprometidos y que el incidente se limitó a una billetera interna para operaciones. El informe de CoinDesk confirmó que los fondos de los usuarios no se vieron afectados. La investigación de CryptoSlate agregó que la clave filtrada tenía unos seis años y era anterior a la arquitectura de seguridad actual de Polymarket.
ZachXBT es un investigador independiente en cadena, no una autoridad ni empleado de Polymarket. Su función es analizar patrones de transacciones en tiempo real y dar la alerta antes que la plataforma afectada. Por ello, estos casos permanecen como "sospechosos" hasta que la plataforma confirme oficialmente la causa, como hizo Polymarket unas cinco horas después de la primera alerta.
Cómo funciona la custodia de cuentas en Polymarket
Muchos imaginan Polymarket como un mercado de predicciones centralizado, pero en realidad se asemeja más a un DEX en cadena con una interfaz amigable.
Cada usuario de Polymarket tiene una cuenta de autocustodia externally owned account (EOA) en Polygon, similar al control de una billetera MetaMask. Los depósitos mueven USDC.e desde Ethereum o Polygon a ese EOA. Las apuestas son transacciones firmadas hacia el contrato UMA CTF Adapter. Los retiros son transacciones firmadas de salida. El frontend de Polymarket abstrae la firma con flujos de billetera integrada, pero la clave privada pertenece al usuario.
Esto hace que el incidente del 22 de mayo sea estructuralmente idéntico a miles de drenajes de cuentas que ocurren en Polygon cada mes. La billetera interna de Polymarket era una EOA con POL y USDC.e operativos. Una vez filtrada la clave, el atacante obtuvo el mismo nivel de permiso que Polymarket sobre esa dirección. No hubo exploit de contrato porque el contrato cumplió con su función: aceptar transacciones firmadas desde la dirección.
Esto es relevante porque las posiciones de alto valor de los usuarios de Polymarket están en el mismo tipo de cuenta y bajo el mismo tipo de clave. Si una clave operativa de seis años puede filtrarse dentro de la organización, cualquier usuario debe revisar sus propias prácticas de seguridad.
Implicaciones de autocustodia para usuarios de Polymarket con altos valores
Las cuentas más grandes de Polymarket son visibles. Las direcciones con posiciones de siete u ocho cifras en los ciclos electorales de EE.UU. han sido públicas, y algunas aún mantienen fondos significativos. Cualquiera con herramientas básicas de análisis en cadena puede listar EOAs de alto valor en menos de una hora; los atacantes también.
El patrón de ataque en 2025 y 2026 ha sido consistente: kits de phishing que imitan el email y la interfaz de Polymarket, extensiones falsas para navegador que interceptan peticiones de firma y ataques de fuerza bruta sobre el correo de la billetera integrada generan víctimas semanalmente. El drenaje suele ocurrir en una sola transacción y firma, antes de que el usuario lo note.
Tipo de cuenta | Modelo de custodia | Amenaza realista |
Posición Polymarket vía billetera integrada | EOA autocustodiada, clave gestionada por la app | Phishing, extensiones maliciosas, compromiso de dispositivo |
Posición Polymarket vía billetera externa (MetaMask) | EOA autocustodiada, clave gestionada por el usuario | Filtración de frase semilla, abuso de aprobación, dApps falsas |
Billetera operativa interna de Polymarket | EOA gestionada por la organización | Clave obsoleta, acceso interno, filtración de infraestructura (caso del 22 de mayo) |
En resumen, si un atacante accede a tu clave privada de Polygon, obtiene tu posición de Polymarket, tu saldo USDC.e y cualquier otro token en esa dirección. No existe un soporte de Polymarket que pueda revertir transacciones firmadas, ni equivalentes a un seguro FDIC en Polygon. Los contratos funcionaron correctamente durante el incidente, lo que significa que la plataforma tampoco tiene recursos frente a un atacante que actúe "correctamente" respecto a tu dirección.
Qué revisar en tu cuenta Polymarket ahora mismo
Tres verificaciones clave para realizar en los próximos minutos, sin importar el tamaño de tu posición:
Confirma que el correo vinculado a tu billetera integrada tiene credenciales únicas y 2FA. Las contraseñas reutilizadas de filtraciones antiguas siguen siendo una causa común de compromiso en Polygon. Repasa la lista completa de seguridad antes de continuar.
Revisa las aprobaciones de tokens en tu dirección Polymarket. Usa un explorador de Polygon para revisar las aprobaciones a contratos y revoca cualquier acceso que no reconozcas. Aprobaciones antiguas pueden dejar la cuenta vulnerable.
Transfiere cualquier posición significativa a un billetera hardware para firmar transacciones. Polymarket permite el uso de billetera externa; aunque tiene más fricción, una hardware wallet requiere confirmación física por firma y evita compromisos remotos de clave como el caso de la billetera interna de Polymarket.
Para cuentas con más de unos pocos miles de dólares, trata la billetera integrada como billetera caliente y usa hardware wallet para fondos importantes, tal como recomiendan las guías de autocustodia en DeFi.
Preguntas frecuentes
¿Fue el incidente del 22 de mayo un hackeo de contrato inteligente?
No. Polymarket y ZachXBT confirmaron que el contrato UMA CTF Adapter funcionó conforme a lo previsto y la sustracción se debió a una clave privada interna, no a una falla del contrato o del oráculo.
¿Corren riesgo los fondos de los usuarios de Polymarket actualmente?
Los fondos en cuentas personales de Polymarket no se vieron afectados por el drenaje del 22 de mayo. La billetera comprometida era interna. Cada EOA de usuario es independiente y su seguridad es responsabilidad de cada individuo.
¿Cómo suelen robar los atacantes los fondos de cuentas Polymarket?
Los métodos principales son páginas de phishing que imitan el ingreso a Polymarket, extensiones maliciosas que interceptan firmas y filtraciones de frase semilla por capturas de pantalla, respaldos en la nube o brechas de gestores de contraseñas. Los exploits directos a contratos personales son raros.
¿La pérdida de $600,000 es definitiva?
Polymarket rotó las claves comprometidas en pocas horas y el drenaje se detuvo. La recuperación de los fondos es poco probable sin intervención legal. Los activos enviados a una dirección de autocustodia no pueden ser recuperados por la plataforma.
Conclusión
El caso de Polymarket recuerda que el punto más vulnerable no es el protocolo, sino la clave privada. ZachXBT reportó el drenaje de una billetera interna, Polymarket confirmó el origen en una clave operativa antigua y los contratos siguieron instrucciones válidas. Este riesgo aplica a cualquier usuario: es el momento para revocar aprobaciones desconocidas, actualizar credenciales de acceso y mover fondos importantes a una hardware wallet. La plataforma rotó la clave filtrada en menos de cinco horas; el resto depende del usuario.
Este artículo es solo informativo y no constituye asesoría financiera o de inversión. Operar criptomonedas implica riesgos. Investigue antes de tomar decisiones de inversión.
