Puntos clave de la noticia:
- Polymarket sufrió un exploit vinculado a una clave privada comprometida usada en operaciones internas, las pérdidas superaron los $600.000.
- El investigador ZachXBT identificó el ataque en la blockchain de Polygon. Los fondos fueron drenados desde dos contratos inteligentes hacia una dirección externa.
- El equipo de Polymarket confirmó que los fondos de los usuarios y la resolución de mercados siguen siendo seguros, y que todos los permisos de la clave comprometida fueron revocados.
Polymarket confirmó que sufrió un exploit de seguridad que afectó parte de su infraestructura en Polygon. Según declaraciones del equipo de desarrollo publicadas en X, el incidente se originó en la vulneración de una clave privada de seis años de antigüedad vinculada a operaciones internas de recarga de fondos. Los contratos principales y la infraestructura central no resultaran afectados.
El investigador blockchain ZachXBT fue el primero en identificar el exploit, señalando actividad sospechosa en el contrato UMA Conditional Tokens Framework (CTF) Adapter en Polygon. Según datos on-chain compartidos por ZachXBT, más de $520.000 fueron drenados desde dos contratos inteligentes hacia una dirección atribuida al atacante.
We’re aware of the security reports linked to rewards payout. User funds and market resolution are safe.
Findings point to a private key compromise of a wallet used for internal top-up operations, not contracts or core infrastructure.
More updates to follow.
— Polymarket Developers (@PolymarketDevs) May 22, 2026
Josh Stevens, vicepresidente de ingeniería de la plataforma, precisó que el exploit se limitó exclusivamente a esa clave privada antigua utilizada para operaciones de recarga interna. Stevens indicó que todos los permisos asociados a dicha clave fueron revocados de forma inmediata.
Estimaciones Sobre las Pérdidas de Polymarket
Las estimaciones de pérdidas se actualizaron rápidamente durante las horas siguientes al descubrimiento. La plataforma de visualización de datos blockchain Bubblemaps reportó que el atacante extraía aproximadamente 5.000 tokens POL cada 30 segundos. La plataforma Lookonchain estimó que el total robado alcanzó los $660.000.
El contrato UMA CTF Adapter funciona como oráculo para la resolución de mercados de predicción en Polymarket a través del Optimistic Oracle de UMA, solución que la plataforma integró el 3 de febrero de 2022. Mudit Gupta, director de tecnología de Polygon Labs, confirmó que los contratos y los fondos de usuarios están seguros, y calificó el incidente como un problema del inicializador de mercados sin impacto sobre los usuarios.
Polymarket es el segundo mercado de predicción descentralizado más grande del mundo, con un volumen mensual de operaciones de $3.700 millones según DefiLlama.
