Puntos clave de la noticia:
- Polymarket sufrió un robo de $2,94 millones tras la inyección de un script malicioso en su frontend a través de un proveedor externo.
- Al menos 11 wallets de usuarios fueron vaciadas en el ataque, que constituye el incidente de seguridad número 89 del segundo trimestre de 2026 para la industria cripto.
- La plataforma confirmó que contuvo el problema, eliminó la dependencia afectada y reembolsará a todos los usuarios afectados.
Un proveedor externo comprometido fue el vector de entrada que permitió a atacantes inyectar un script malicioso en el frontend de Polymarket, la plataforma de mercados de predicción descentralizados. El analista blockchain Specter identificó el ataque como un esquema de phishing que derivó en el robo aproximadamente $2,94 millones de al menos 11 wallets de usuarios.
La plataforma comunicó a través de X que el ataque fue contenido y que la dependencia afectada fue eliminada. Además, confirmó que todos los usuarios perjudicados serán reembolsados en su totalidad.
It appears there may be a phishing attack targeting Polymarket users, with estimated losses of $2.94M so far.
The attacker has drained funds from 11+ victim wallets holding PUSD, swapped the stolen assets for ETH, and consolidated the proceeds into the following address:… pic.twitter.com/6WfS0JhdDG
— Specter (@SpecterAnalyst) June 25, 2026
Polymarket se Suma a la Larga Lista de Víctimas
El incidente de Polymarket fue registrado como el número 89 del segundo trimestre de 2026, según datos de DefiLlama, lo que convierte a este período en el trimestre con mayor cantidad de ataques reportados por incidente en toda la historia del sector. Solo en junio, las pérdidas por exploits alcanzaron los $74,9 millones distribuidos en 29 incidentes reportados, superando los $60,5 millones de mayo, aunque muy por debajo de los $644 millones registrados en abril.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
— Polymarket Traders (@PolymarketTrade) June 25, 2026
Entre los casos más relevantes del mes figuran el exploit de Humanity Protocol por $36 millones, el ataque al bridge de Secret Network por $4,7 millones, dos exploits separados sobre Aztec valuados en $2,1 millones cada uno y un ataque al bridge de Taiko por $1,7 millones. En el total de los últimos 30 días, la filtración de claves privadas representó el 43% de las pérdidas totales, consolidándose como el vector de ataque dominante.
Historial de Vulnerabilidades
Este no es el primer incidente de seguridad que sufre Polymarket. Aproximadamente un mes atrás, la plataforma divulgó que fue víctima de un exploit por $600.000 atribuido a una clave privada de seis años de antigüedad utilizada en operaciones internas. Josh Stevens, vicepresidente de ingeniería de la compañía, aseguró en ese momento que los contratos y los fondos de los usuarios seguían siendo seguros y que todos los permisos asociados a esa clave habían sido revocados.
A pesar de los incidentes, Polymarket mantiene más de $450 millones en valor total bloqueado, lo que representa un crecimiento del 301% frente a los $112 millones registrados un año atrás, de acuerdo con DefiLlama.
