Brecha en Polymarket: ataque a una wallet interna drenó más de $500.000 en POL

Este adaptador actúa como puente entre el framework de tokens condicionales (CTF) de Polymarket y el oráculo de UMA, permitiendo que los mercados se resuelvan automáticamente una vez que el resultado ha sido verificado.

Aunque las primeras alertas describieron el incidente como un posible exploit del contrato, explicaciones posteriores indicaron que la lógica de los contratos inteligentes no fue vulnerada.

Cómo se detectó el ataque

El incidente salió a la luz gracias al monitoreo público de la blockchain. El investigador ZachXBT, conocido por analizar transacciones sospechosas en redes cripto, detectó actividad inusual en direcciones vinculadas al adaptador.

Según sus observaciones, el atacante estaba ejecutando retiros repetidos de aproximadamente 5.000 POL cada 30 segundos.

Este patrón —muchas transacciones consecutivas en lugar de una sola operación grande— indicaba un drenaje automatizado, lo que llevó a emitir alertas en comunidades cripto y canales de monitoreo. A medida que se seguían las transacciones en tiempo real, el valor total de los fondos sustraídos seguía aumentando.

Cómo movió el atacante los fondos

El análisis on‑chain posterior mostró varias tácticas habituales en este tipo de incidentes:

• Al menos dos direcciones relacionadas con la infraestructura del adaptador fueron drenadas durante el ataque.
• Los tokens robados se distribuyeron entre múltiples wallets, una técnica usada para dificultar el rastreo.
• Parte de los fondos fue enviada a exchanges de criptomonedas, posiblemente para intercambiar o liquidar los activos.

Debido a que las transacciones en blockchain son públicas, los investigadores pudieron seguir los movimientos paso a paso mientras ocurrían.

Por qué Polymarket dice que no fue un exploit de contrato inteligente

Muchos informes iniciales describieron el incidente como un "exploit". Sin embargo, Polymarket explicó posteriormente que el origen del problema fue una clave privada comprometida perteneciente a una wallet operativa interna.

La diferencia es importante:

• Exploit de contrato inteligente: el atacante aprovecha un fallo en el código del contrato para extraer fondos.
• Compromiso de clave privada: el atacante obtiene la clave que autoriza las transacciones y puede firmarlas legítimamente.

Según la empresa, el sistema ejecutó las transacciones tal como estaba diseñado, pero bajo el control de quien poseía la clave robada.

Qué dijo la empresa sobre los fondos de los usuarios

Polymarket insistió públicamente en que los fondos de los usuarios no se vieron afectados y que el sistema principal de liquidación de mercados siguió funcionando con normalidad.

La compañía también afirmó que el incidente estuvo limitado a una wallet operativa específica y no involucró los contratos centrales que gestionan el trading o la resolución de mercados en la plataforma.

Preguntas de seguridad que siguen abiertas

Aun con la explicación inicial, varios puntos clave quedaron sin respuesta pública en el momento del reporte:

• Cómo se filtró la clave privada. No se detalló si ocurrió por un problema de infraestructura, un dispositivo comprometido o un error operativo.
• Qué nivel de permisos tenía la wallet comprometida, que le permitió mover fondos sin bloqueos inmediatos.
• Por qué los retiros repetidos continuaron durante cierto tiempo sin ser detenidos automáticamente.
• Qué mecanismos de gestión de claves estaban implementados, como firmas múltiples (multisig) o módulos de seguridad hardware.

Sin un informe técnico completo, analistas del sector concluyeron que el incidente probablemente fue un fallo de seguridad operativa, más que un defecto en el protocolo en sí.

La lección para la seguridad en DeFi

El caso de Polymarket refleja un patrón frecuente en el ecosistema DeFi: incluso cuando los contratos inteligentes son seguros, la infraestructura operativa y la gestión de claves siguen siendo superficies críticas de ataque.

Una clave privada comprometida puede dar a un atacante autoridad legítima para mover fondos, lo que le permite sortear muchas de las protecciones que existen en el código on‑chain.

Para plataformas que operan sistemas complejos con oráculos, adaptadores y wallets operativas, el incidente subraya la importancia de controles estrictos de gestión de claves, monitoreo en tiempo real y separación de privilegios.