El 25 de junio de 2026, Polymarket sufrió un ataque a la cadena de suministro que drenó aproximadamente 3 millones de dólares en fondos de usuarios. El incidente ocurrió apenas cinco días después de que una investigación del Wall Street Journal revelara que la plataforma había pagado a creadores de contenido para fabricar videos de apuestas ganadoras. Esta coincidencia convirtió una grave falla de seguridad en una crisis de credibilidad compuesta, lo que generó dudas sobre la integridad operativa de la plataforma, la gestión de sus proveedores y su compromiso con la protección del usuario.
Cómo ocurrió el hackeo de 3 millones de dólares
Los atacantes comprometieron a un proveedor externo no identificado del que Polymarket dependía para el frontend de su sitio web. Una vez dentro, inyectaron código JavaScript malicioso en el frontend de Polymarket, que ejecutó un ataque de phishing contra un subconjunto de usuarios. Los contratos inteligentes principales y la infraestructura blockchain no se vieron comprometidos; la brecha fue puramente un vector de ataque a la cadena de suministro del frontend ![]()
![]()
.
Los detalles técnicos clave incluyen:
- Objetivo: El script malicioso apuntó a menos de 15 cuentas, y los datos en cadena de Bubblemaps indican que al menos 11 carteras fueron drenadas
![]()
![]()
.
- Activo robado: El activo robado fue pUSD (la versión puente de USDC de Polymarket en Polygon). Los atacantes movieron los fondos de Polygon a Ethereum y los intercambiaron por aproximadamente 1,893 ETH
![]()
![]()
.
- Estimación de pérdida: El analista de seguridad independiente Specter situó la pérdida confirmada en 2.94 millones de dólares, mientras que Polymarket y múltiples fuentes la redondean a aproximadamente 3 millones
![]()
![]()
.
El ataque explotó una debilidad clásica en las plataformas cripto: incluso cuando los contratos inteligentes blockchain son seguros, las dependencias de terceros pueden introducir vulnerabilidades. Los usuarios que interactuaban con el sitio web legítimo de Polymarket fueron engañados para que aprobaran transacciones fraudulentas porque el código malicioso se ejecutaba en el dominio real de la plataforma ![]()
![]()
.
Medidas de seguridad que tomó Polymarket
La respuesta inmediata de Polymarket, anunciada en X/Twitter, incluyó:
- Contención y eliminación de la dependencia de terceros comprometida de su frontend
![]()
![]()
![]()
- Reembolsos completos a todos los usuarios afectados: la empresa se comprometió a resarcir a las víctimas
![]()
![]()
![]()
- Una investigación en curso, aunque Polymarket se negó a nombrar al proveedor involucrado
![]()
![]()
La respuesta fue rápida: la empresa detectó y confirmó la brecha la misma mañana en que ocurrió. Sin embargo, este fue el segundo incidente de seguridad de Polymarket en menos de dos meses. A mediados de mayo de 2026, un hackeo a una cartera interna resultó en pérdidas de aproximadamente 700,000 dólares después de que una clave privada se viera comprometida ![]()
![]()
. Ese incidente anterior tampoco afectó directamente los fondos de los usuarios, pero señaló debilidades en la seguridad operativa de Polymarket que el ataque de junio a la cadena de suministro validó.
El escándalo de marketing engañoso
Apenas unos días antes del hackeo, el 20 de junio de 2026, el Wall Street Journal publicó una investigación explosiva que revelaba que Polymarket había pagado a creadores de contenido en redes sociales para producir videos que mostraban falsamente a usuarios ganando grandes sumas en la plataforma ![]()
![]()
.
Hallazgos clave de la investigación del WSJ:
- Los analistas revisaron 1,105 videos sobre Polymarket en varias plataformas sociales. 778 de ellos mostraban apuestas falsas en sitios clonados; ninguno usaba el intercambio real de Polymarket
![]()
![]()
.
- Los videos mostraban colectivamente ganancias por un total de 1.9 millones de dólares
![]()
.
- Polymarket proporcionó a los creadores materiales instructivos sobre cómo escenificar las apuestas
![]()
.
- El 26 de junio de 2026, el día después del hackeo, la Asociación Nacional de Defensores del Consumidor presentó una demanda acusando a Polymarket de orquestar un esquema de marketing engañoso, pagar por anuncios secretos y apuntar agresivamente a estudiantes universitarios mientras ocultaba las probabilidades de pérdida
![]()
![]()
.
El informe del WSJ detalló cómo un contratista de marketing, Virality, gestionaba la red de creadores y les pagaba entre 2,000 y 3,000 dólares mensuales, con pagos condicionados a que al menos el 60% de su audiencia estuviera en Estados Unidos, a pesar de la incertidumbre regulatoria en torno a los mercados de predicción ![]()
![]()
.
Cómo se agravan estas crisis entre sí
Los escándalos consecutivos crean una crisis de confianza compuesta en varias dimensiones:
| Dimensión | Impacto |
|---|
| Confianza en la seguridad | Dos brechas en dos meses (un compromiso de cartera interna en mayo seguido de un hackeo a la cadena de suministro de 3 millones en junio) muestran una gestión inadecuada del riesgo de proveedores externos ![]() ![]() |
| Integridad operativa | El escándalo de los videos falsos demuestra que Polymarket engañó voluntariamente al público sobre los resultados de las apuestas. Los usuarios ahora tienen motivos para preguntarse si algún contenido promocional, o incluso los datos del mercado, son genuinos ![]() ![]() |
| Exposición regulatoria | La demanda de los defensores del consumidor, combinada con el hackeo, fortalece el caso para una acción regulatoria. Polymarket ya enfrentaba el escrutinio de la CFTC y operaba bajo un acuerdo con la SEC de 1,400 millones de dólares de 2024 por operar un intercambio no registrado ![]() ![]() |
El momento es crucial: el hackeo ocurrió cinco días después de la investigación del WSJ, lo que significa que la falla de seguridad validó inmediatamente a los críticos que argumentaban que los estándares operativos y éticos de Polymarket eran peligrosamente laxos. La empresa ahora enfrenta una crisis simultánea de seguridad, legal y de reputación sin un camino claro para restaurar la confianza del usuario.
Implicaciones más amplias para las plataformas cripto
El hackeo a la cadena de suministro de Polymarket es parte de un patrón más amplio en la seguridad de las criptomonedas. Los ataques a la cadena de suministro que se dirigen a proveedores externos son cada vez más comunes porque evaden la sólida seguridad de la infraestructura blockchain. El vector de ataque (inyección de JavaScript malicioso a través de una dependencia del frontend comprometida) es bien conocido pero difícil de prevenir sin una rigurosa verificación de proveedores y controles de integridad del código ![]()
![]()
.
Para los usuarios que interactúan con cualquier plataforma cripto, el incidente de Polymarket subraya varias lecciones:
- La seguridad de los contratos inteligentes no es suficiente si las dependencias del frontend se ven comprometidas
- El riesgo de proveedores externos requiere un monitoreo continuo, no solo una diligencia debida inicial
- Múltiples incidentes de seguridad en rápida sucesión sugieren debilidades sistémicas, no fallas aisladas
El caso de Polymarket también destaca el daño reputacional que sigue cuando las fallas de seguridad ocurren inmediatamente después de que se expone un marketing engañoso. Los usuarios pueden preguntarse: si una plataforma está dispuesta a engañar al público sobre los resultados ganadores, ¿sobre qué más está dispuesta a engañar?
Polymarket se ha comprometido a reembolsar a todos los usuarios afectados, pero la empresa no ha nombrado al proveedor comprometido ni ha proporcionado detalles sobre cómo la brecha evitará incidentes futuros ![]()
![]()
. Sin transparencia y mejoras de seguridad significativas, recuperar la confianza del usuario será una cuesta muy empinada.
Comments
0 comments