Un ataque de phishing al frontend de Polymarket ha expuesto una de las vulnerabilidades más persistentes en las finanzas descentralizadas: la cadena de suministro. Cuando los atacantes no necesitan vulnerar los contratos inteligentes de un protocolo para drenar millones, solo necesitan comprometer a un proveedor externo que esté silenciosamente en segundo plano en el código de una plataforma popular.
Summary
Puntos clave
- Un proveedor externo comprometido inyectó código malicioso en el frontend de Polymarket, lo que permitió un ataque de phishing que robó aproximadamente 2,94 millones de dólares de al menos 11 monederos de usuarios.
- Polymarket eliminó la dependencia maliciosa, contuvo la brecha y se comprometió a reembolsar por completo a todos los usuarios afectados.
- El analista de blockchain Specter confirmó que el PUSD robado fue intercambiado por ETH y consolidado en una única dirección.
- DefiLlama registró el incidente como la brecha de seguridad cripto número 89 del segundo trimestre de 2026, el mayor número de incidentes trimestrales en sus registros.
- Junio de 2026 registró 74,9 millones de dólares en pérdidas en 29 exploits, según DefiLlama.
Detalles del ataque de phishing al frontend de Polymarket
El ataque de phishing a Polymarket no explotó un fallo en los contratos inteligentes de la plataforma ni en su infraestructura central. En su lugar, los atacantes entraron por la puerta lateral: un proveedor externo cuyo acceso comprometido les dio una vía para inyectar un script malicioso directamente en la interfaz de frontend de Polymarket.
Esa distinción es importante. Los usuarios que interactuaban con lo que parecía ser la interfaz normal de Polymarket estaban expuestos sin saberlo a código diseñado para robar fondos de sus monederos conectados. El vector de ataque fue silencioso, invisible y efectivo.
Inyección de código malicioso a través de un proveedor externo
Polymarket reveló el incidente en X, confirmando que un proveedor externo había sido comprometido y utilizado para introducir un script malicioso en el frontend de la plataforma para algunos usuarios. La plataforma describió la secuencia de forma sencilla: descubrir, contener, eliminar, reembolsar.
«Esta mañana descubrimos que un proveedor externo había sido comprometido, inyectando un script malicioso en nuestro frontend para algunos usuarios. Lo hemos contenido y eliminado la dependencia afectada. Estamos contactando a los usuarios afectados y reembolsándolos por completo», publicaron los Polymarket Traders el 25 de junio de 2026.
El analista de blockchain Specter clasificó el incidente como una campaña de phishing en lugar de un exploit directo del protocolo. El script inyectado esperaba a que los usuarios interactuaran con la interfaz comprometida y luego se activaba para desviar fondos de los monederos conectados.
Impacto del ataque y monederos afectados
Specter estimó las pérdidas en aproximadamente 2,94 millones de dólares drenados de al menos 11 monederos de víctimas. Los activos robados, mantenidos en PUSD, fueron intercambiados por ETH y canalizados a una única dirección consolidada, un patrón coherente con intentos rápidos de lavado tras un robo DeFi.
La magnitud de la pérdida subraya lo efectivos que pueden ser los ataques a nivel de frontend. Incluso con relativamente pocos monederos comprometidos, el impacto en dólares alcanzó casi los tres millones, reflejando el tamaño de las posiciones que algunos usuarios mantenían en la plataforma de mercados de predicción.
Respuesta de la plataforma y restitución a los usuarios
Polymarket actuó con rapidez una vez que se identificó la brecha. La dependencia maliciosa fue eliminada, el incidente fue contenido y la plataforma se comprometió a dejar indemne a cada usuario afectado.
Contención del incidente y eliminación de la dependencia maliciosa
La respuesta siguió una secuencia clara y transparente: aislar el componente comprometido, retirarlo de la plataforma y comunicarlo públicamente. Polymarket confirmó que estaba contactando activamente a los usuarios afectados de forma directa, en lugar de esperar a que los usuarios se identificaran por sí mismos.
Ese enfoque —contacto proactivo combinado con un compromiso de reembolso total— refleja cómo las plataformas DeFi entienden cada vez más que la confianza del usuario, una vez fracturada, es mucho más difícil de reconstruir que el importe en dólares perdido.
Compromiso de reembolsos completos para los usuarios afectados
La promesa de un reembolso completo para todos los usuarios afectados es significativa. Aunque no se especificaron el calendario exacto ni el mecanismo de distribución de esos reembolsos, el compromiso público pone directamente en juego la reputación de Polymarket. Para una plataforma de mercados de predicción que depende de la participación de los usuarios y de la liquidez, esa rendición de cuentas es tanto financiera como estratégica.
Contextualización de la brecha dentro de la seguridad de las criptomonedas
El incidente de Polymarket no ocurrió de forma aislada. Se produjo en un trimestre que ya ha establecido récords indeseados en fallos de seguridad cripto.
DefiLlama informa de récord de brechas de seguridad cripto en el segundo trimestre de 2026
DefiLlama registró la brecha de Polymarket como el incidente de seguridad cripto número 89 del segundo trimestre de 2026, lo que lo convierte en el mayor número de incidentes trimestrales que la plataforma de análisis ha rastreado jamás. Esa cifra por sí sola señala un problema sistémico. Más ataques, con mayor frecuencia, en una gama más amplia de plataformas y vectores.
Las brechas de claves privadas representaron el 43% de las pérdidas por exploits en los últimos 30 días, según DefiLlama. Los exploits de pruebas falsas representaron el 10% de las pérdidas, y los honeypots de MEV inverso representaron el 8%. El ataque a Polymarket, arraigado en un compromiso de la cadena de suministro del frontend en lugar de una clave privada o un fallo de protocolo, ilustra que los atacantes están diversificando sus métodos a medida que mejoran las defensas en torno a los vectores tradicionales.
Resumen de exploits y pérdidas de junio de 2026
DefiLlama informó de 74,9 millones de dólares en pérdidas procedentes de 29 exploits cripto solo en junio de 2026. Esa cifra superó los 60,5 millones de dólares de mayo, pero se mantuvo muy por debajo de los 644 millones de abril, un mes que incluyó algunos de los mayores robos DeFi individuales del año.
El mayor incidente individual de junio fue un exploit de 36 millones de dólares dirigido a Humanity Protocol. Otros ataques notables incluyeron un exploit de 4,7 millones de dólares en el puente de Secret Network, dos exploits separados de 2,1 millones de dólares que afectaron a Aztec y un exploit de puente de 1,7 millones de dólares en Taiko. En ese contexto, la pérdida de 2,94 millones de dólares de Polymarket se sitúa en el nivel medio de los incidentes de junio por valor en dólares, pero su método y contexto la hacen especialmente instructiva.
Incidente de seguridad previo en Polymarket
El ataque al frontend de junio no fue el primer titular de seguridad de Polymarket en este trimestre. Aproximadamente un mes antes, la plataforma reveló una brecha separada que implicaba una vulnerabilidad mucho más antigua.
Clave privada de seis años comprometida que resultó en una pérdida de 600.000 dólares
Los atacantes explotaron una clave privada de seis años vinculada a un monedero interno de operaciones de recarga, llevándose aproximadamente 600.000 dólares. Los investigadores de seguridad ZachXBT, PeckShield y Bubblemaps señalaron inicialmente actividad sospechosa relacionada con el contrato UMA CTF Adapter de Polymarket en Polygon. Bubblemaps señaló que los atacantes retiraban 5.000 POL cada 30 segundos antes de que las pérdidas totales se estimaran en alrededor de 600.000 dólares.
Aclaración sobre la causa raíz del incidente y la seguridad de la plataforma
El colaborador del protocolo Polymarket, Shantikiran Chanal, aclaró posteriormente que el incidente anterior se originó en un monedero comprometido utilizado exclusivamente para operaciones internas, no en ningún fallo en los contratos de la plataforma ni en su infraestructura central. El vicepresidente de ingeniería, Josh Stevens, confirmó que los fondos de los usuarios y los contratos inteligentes habían permanecido seguros en todo momento y que todos los permisos vinculados a la clave comprometida habían sido revocados.
Dos incidentes separados, con un mes de diferencia, utilizando vectores de ataque completamente distintos —una clave privada olvidada y un proveedor de cadena de suministro comprometido— dibujan un panorama desafiante para una plataforma que navega un rápido crecimiento junto con una deuda de seguridad heredada. El ataque de phishing al frontend, en particular, pone de relieve una categoría de riesgo que muchas plataformas DeFi comparten pero contra la que pocas se han blindado por completo: la confianza implícita depositada en el código de terceros que se ejecuta en sus interfaces.
Preguntas frecuentes
¿Cómo se produjo el ataque de phishing a Polymarket?
Los atacantes comprometieron a un proveedor externo e inyectaron código malicioso en la interfaz de frontend de Polymarket. Cuando los usuarios interactuaban con la interfaz comprometida, el script se activaba y robaba fondos directamente de sus monederos conectados.
¿Qué cantidad se robó en el ataque de phishing a Polymarket y cuántos usuarios se vieron afectados?
Se robaron aproximadamente 2,94 millones de dólares de al menos 11 monederos de usuarios. El PUSD robado fue intercambiado por ETH y consolidado en una única dirección de monedero identificada por el analista de blockchain Specter.
¿Cómo respondió Polymarket al ataque de phishing?
Polymarket eliminó la dependencia maliciosa, contuvo el incidente y se comprometió a reembolsar por completo a todos los usuarios afectados. La plataforma también declaró que estaba contactando directamente a los usuarios afectados.
¿Cuál es el contexto más amplio de este ataque dentro de las tendencias de seguridad cripto?
El ataque fue registrado como la brecha de seguridad cripto número 89 del segundo trimestre de 2026 por DefiLlama, lo que lo convierte en el mayor número de incidentes trimestrales registrados. Solo en junio de 2026 se registraron 74,9 millones de dólares en pérdidas en 29 exploits, con las brechas de claves privadas representando el 43% de las pérdidas recientes por exploits.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»¿Cómo se produjo el ataque de phishing a Polymarket?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Los atacantes comprometieron a un proveedor externo e inyectaron código malicioso en la interfaz de frontend de Polymarket. Cuando los usuarios interactuaban con la interfaz comprometida, el script se activaba y robaba fondos directamente de sus monederos conectados.»}},{«@type»:»Question»,»name»:»¿Qué cantidad se robó en el ataque de phishing a Polymarket y cuántos usuarios se vieron afectados?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Se robaron aproximadamente 2,94 millones de dólares de al menos 11 monederos de usuarios. El PUSD robado fue intercambiado por ETH y consolidado en una única dirección de monedero identificada por el analista de blockchain Specter.»}},{«@type»:»Question»,»name»:»¿Cómo respondió Polymarket al ataque de phishing?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Polymarket eliminó la dependencia maliciosa, contuvo el incidente y se comprometió a reembolsar por completo a todos los usuarios afectados. La plataforma también declaró que estaba contactando directamente a los usuarios afectados.»}},{«@type»:»Question»,»name»:»¿Cuál es el contexto más amplio de este ataque dentro de las tendencias de seguridad cripto?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»El ataque fue registrado como la brecha de seguridad cripto número 89 del segundo trimestre de 2026 por DefiLlama, lo que lo convierte en el mayor número de incidentes trimestrales registrados. Solo en junio de 2026 se registraron 74,9 millones de dólares en pérdidas en 29 exploits, con las brechas de claves privadas representando el 43% de las pérdidas recientes por exploits.»}}]}
Artículo producido con la ayuda de inteligencia artificial y revisado por el equipo editorial.
