Uno de los proveedores externos de Polymarket sufrió un hackeo el jueves, según informó el mercado de predicciones, dejando su sitio web vulnerable a un exploit que, según los analistas, provocó la pérdida de millones de dólares para los usuarios de la plataforma.
Polymarket declinó hacer comentarios cuando fue contactado por Decrypt, y no reveló públicamente cuál de sus proveedores fue comprometido. Pero el ataque permitió a los hackers inyectar código malicioso en el front-end del mercado de predicciones, según dijo la compañía en una publicación en X.
Finalmente, los hackers robaron unos $3 millones en fondos de clientes.
Los investigadores on-chain de Bubblemaps concluyeron que el daño potencial del hackeo fue en gran medida contenido, afectando a menos de 15 cuentas de usuario. La firma de investigación de blockchain no respondió de inmediato a la solicitud de comentarios de Decrypt.
Algunas cuentas de Polymarket afectadas:
0x349606c1b77F3Ba668879CbC9347f15a44cF8fc4
0xFB84a9d631A3a19204B82c78dFeb90b220255fB5
0x4aeC70021891EA712AAf3e2dD76c30f6b09A4ce9
0x987B441a20Dd4AA4bA6d53069E852E7f820adF43
0x2d7BE5170a8026c18709EAEa1027c7f12E8Ce2Ce…— Bubblemaps (@bubblemaps) June 25, 2026
Polymarket declaró que está en proceso de reembolsar por completo a los clientes afectados, y que el problema del front-end ha sido contenido y eliminado.
Aún no está claro qué medidas puede tomar la plataforma del mercado de predicciones para evitar que un exploit similar ocurra en el futuro, dado que depende de algunas empresas externas, terceros, que aparentemente están directamente involucradas en el funcionamiento del sitio.
Los atacantes parecen haber drenado fondos de las billeteras de los clientes de Polymarket que contenían pUSD, una stablecoin vinculada al dólar específica de Polymarket respaldada por USDC, que se utiliza para facilitar todas las operaciones en la plataforma. Luego, convirtieron los fondos robados a ETH y los acumularon en una billetera de Ethereum, donde, al momento de escribir este artículo, permanecen.
El mes pasado, Polymarket sufrió otro hackeo, de una billetera utilizada por los empleados de la compañía para recargar y pagar las recompensas a los usuarios. El exploit le costó a la empresa aproximadamente $700,000, y probablemente fue causado por un compromiso de clave privada. No pareció afectar la infraestructura de la compañía ni plantear riesgos más amplios, según dijeron los expertos en ese momento.
Sin embargo, tanto ese exploit como el de hoy, señalan la capacidad de los hackers para infiltrarse en grandes empresas por los márgenes, incluso cuando los protocolos centrales permanecen seguros.
