Polymarket reembolsará a los usuarios tras perder casi 3 millones de dólares por un ataque de phishing a su frontend
El 25 de junio de 2026, Polymarket, una de las plataformas de mercados de predicción más grandes del sector cripto, confirmó el reembolso total a los usuarios afectados por un ataque de phishing que resultó en la sustracción de aproximadamente 2,94 millones de dólares. El ataque se originó por una vulnerabilidad en un proveedor externo, lo que permitió a los hackers inyectar código malicioso en el frontend del sitio y comprometer los fondos de al menos 11 cuentas de usuarios.
Este incidente pone en foco los desafíos de seguridad en servicios descentralizados que dependen de proveedores externos para componentes críticos, así como la responsabilidad de las plataformas ante eventos que, aunque indirectos, afectan profundamente a sus bases de usuarios.
Detalles del ataque: brecha en proveedor externo y mecanismo de la estafa
Según información publicada oficialmente por Polymarket y reportes de firmas de análisis como PeckShield y Bubblemaps, los autores del ataque explotaron una brecha en un tercero encargado de parte del front-end del sitio. La vulnerabilidad permitió la inserción de scripts maliciosos, desviando a los usuarios a sitios fraudulentos o interfiriendo en el acceso a sus fondos.
Los hackers lograron vaciar wallets controladas por los afectados, sustrayendo fondos directamente en pUSD—el token estable interno de Polymarket colateralizado con USDC—, que posteriormente fueron intercambiados por ETH y transferidos a direcciones bajo el control de los atacantes.
| Fecha del ataque | Fondos sustraídos | Cuentas afectadas | Vector de ataque |
| 25 de junio de 2026 | Aprox. 2,94-3 millones USD | Al menos 11 | Inyección de código malicioso vía proveedor externo |
El monitoreo de la blockchain sugiere que el daño fue mayormente contenido y que el ataque no explotó vulnerabilidades del core protocol de Polymarket, sino que se centró en engañar a los usuarios para entregar sus credenciales o interactuar con interfaces manipuladas.
Respuesta de Polymarket y medidas ante la crisis
En sus comunicaciones públicas, Polymarket informó haber contenido la amenaza retirando el código malicioso, contactando de manera directa a los usuarios perjudicados y procediendo a reembolsar, en su totalidad, los fondos robados. La empresa no divulgó el nombre del proveedor vulnerado ni detalles técnicos adicionales sobre el método de inyección del código, manteniendo la confidencialidad mientras la investigación sigue en curso.
Esta acción de reembolso inmediato es destacada por tratarse de un incidente que no involucró la vulnerabilidad directa de los smart contracts centrales, sino fallas en capas periféricas y la interacción usuario-plataforma. El gesto subraya la importancia de la confianza en plataformas donde los usuarios depositan millones y entrega una señal a todo el ecosistema sobre la autoexigencia en seguridad y responsabilidad tras incidentes graves.
No es la primera vez que Polymarket enfrenta riesgos de seguridad: en meses previos, sufrió un hackeo a una wallet corporativa, que resultó en la pérdida de 700.000 dólares, y la proliferación de bots y sitios fraudulentos que imitaban su marca (ver detalles). Sin embargo, la compañía enfatizó que el core protocol no fue vulnerado, reforzando la idea de que el mayor vector de ataque sigue estando en credenciales, frontends y eslabones humanos.
Contexto de riesgos: phishing, airdrops y manipulación reputacional
El panorama de seguridad de Polymarket refleja dinámicas más amplias presentes en DeFi y plataformas Web3:
- Phishing sofisticado: El ataque reciente destaca la capacidad de los hackers para aprovechar la confianza en la interfaz oficial, redirigiendo a usuarios a sitios fraudulentos que replican casi perfectamente el aspecto de Polymarket.
- Airdrop speculation: Una reciente modificación en la FAQ de Polymarket—donde se eliminaron referencias a la ausencia de planes para un airdrop o token propio—generó oleadas de rumores y aumentó la circulación de páginas falsas que prometen elegibilidad para repartos futuros, facilitando ataques de ingeniería social.
- Problemas de reputación e integridad: Polymarket ha estado bajo escrutinio tras la revelación de que pagó a creadores de contenido para producir videos que mostraban supuestas ganancias inexistentes en apuestas. La dirección de la empresa prometió auditar y mejorar su contenido promocional (ver noticia).
En este contexto, expertos en ciberseguridad advierten sobre la necesidad de verificar siempre la autenticidad de las URLs, no introducir claves ni contraseñas en páginas sospechosas y desconfiar de supuestos “repartos de tokens” sin aval de los canales oficiales.
Implicancias para usuarios, el ecosistema DeFi y desarrolladores
El ataque y la reacción de Polymarket dejan aprendizajes clave para todo el ecosistema. Para usuarios, la principal recomendación es mantener prácticas operativas rigurosas: examinar cuidadosamente las URLs, activar protecciones adicionales en wallets y nunca interactuar con enlaces promocionales o de airdrop fuera de los canales validados. La restitución de fondos por parte de Polymarket alivia el daño inmediato, pero no elimina el riesgo de futuros ataques a través de vectores colaterales.
Para desarrolladores y operadores de plataformas, queda patente que la seguridad no termina en el smart contract: la elección, supervisión y auditoría continua de proveedores externos es tan crítica como la revisión del propio código. La dependencia de soluciones web y sistemas de autenticación de terceros debe ser acompañada de políticas de monitoreo activo, reducción de dependencias críticas y comunicación transparente ante incidentes.
El caso Polymarket subraya la necesidad de elevar los estándares internos y de la industria frente a ataques que, aunque puedan parecer “márgenes” del negocio, tienen consecuencias centrales en la confianza y la continuidad de los servicios DeFi. La experiencia de este hack motiva a otras plataformas a repensar sus modelos de seguridad, reforzando su compromiso con la protección de usuarios—una exigencia cada vez más decisiva en el segmento. Más detalles pueden consultarse en las coberturas de TechCrunch y reportes de firmas especializadas.