Polymarket Confirma Brecha en la Cadena de Suministro del Front-End y Promete Reembolsos Completos Después de que un Script Malicioso Drenara Fondos de Usuarios

— By Tony Rabbit in News

Polymarket Confirma Brecha en la Cadena de Suministro del Front-End y Promete Reembolsos Completos Después de que un Script Malicioso Drenara Fondos de Usuarios

Polymarket confirmó el 25 de junio de 2026 que un proveedor externo comprometido inyectó un script malicioso en su front-end, engañando a algunos usuarios para que aprobaran transferencias que drenaron sus fondos. Polymarket dijo que contuvo el incidente y reembolsará a los usuarios afectados en su totalidad. Los analistas on-chain estiman aproximadamente 3 millones de dólares en pérdidas.

El 25 de junio de 2026, el mercado de predicción Polymarket confirmó que su sitio web había sido afectado por un ataque a la cadena de suministro del front-end. Según la propia declaración de Polymarket, un proveedor externo comprometido inyectó un script malicioso en el sitio para algunos usuarios, incitándolos a firmar transacciones que entregaron el control de sus fondos a un atacante. Polymarket dijo que contuvo el incidente, eliminó la dependencia afectada y reembolsaría a los usuarios afectados en su totalidad. Crucialmente, esto no fue un exploit de contrato inteligente u oráculo. Los contratos subyacentes de la plataforma no fueron violados. El ataque ocurrió en la capa del sitio web, que es exactamente la razón por la que es importante para todos los que autocustodian sus criptomonedas.

Lo que Polymarket confirmó

  • Polymarket confirmó oficialmente una brecha en el front-end a través de su cuenta verificada de X el 25 de junio de 2026.
  • Un proveedor externo comprometido inyectó un script malicioso en el front-end para algunos usuarios.
  • El script incitó a los usuarios afectados a aprobar transferencias de pUSD, el token de dólar de Polymarket respaldado por USDC en Polygon.
  • Polymarket dijo que contuvo el incidente, eliminó la dependencia y reembolsará a los usuarios afectados en su totalidad.
  • Los contratos inteligentes no fueron explotados. Este fue un ataque a nivel de sitio web.

Qué pasó

Polymarket describió el incidente en un comunicado público, reproducido por medios como Benzinga, Decrypt y Protos: "Esta mañana descubrimos que un proveedor externo había sido comprometido, inyectando un script malicioso en nuestro frontend para algunos usuarios. Lo hemos contenido y eliminado la dependencia afectada. Estamos contactando a los usuarios afectados y reembolsándolos en su totalidad." En términos sencillos, una pieza de software de la que dependía el sitio web de Polymarket fue secuestrada, y a través de ella el atacante introdujo código malicioso en el sitio que algunos visitantes cargaron. Ese código no rompió los contratos de Polymarket. En cambio, engañó a los usuarios para que firmaran aprobaciones que permitieron al atacante mover sus tokens.

Un ataque de front-end, no un hackeo de contrato

Esta distinción es la clave. En un exploit de contrato, los atacantes encuentran una falla en el código on-chain y drenan un pool directamente. Aquí, los contratos estaban bien. El eslabón débil fue el sitio web, la capa entre usted y la blockchain. Al comprometer una dependencia de terceros, el atacante cambió lo que el sitio pedía a los usuarios que firmaran, convirtiendo una interacción rutinaria en una aprobación que vaciaba la billetera. Este es un ataque a la cadena de suministro, y es cada vez más común porque el front-end suele ser más vulnerable que los contratos auditados que lo respaldan. También vale la pena ser preciso sobre qué incidente de Polymarket es este. Es diferente del exploit del Adaptador UMA CTF de mayo de 2026 en Polygon, un evento distinto señalado por investigadores on-chain, y de disputas anteriores en torno al oráculo de la plataforma. Para obtener información sobre la plataforma en sí, consulte nuestra guía de Polymarket y los mercados de predicción.

Cuánto se llevó

Polymarket no publicó una cifra en dólares, un recuento de víctimas o el nombre del proveedor comprometido. Las cifras que circulan provienen de analistas on-chain, no de Polymarket, y deben leerse como estimaciones. Firmas de seguridad on-chain como PeckShield, Bubblemaps y Specter informaron de aproximadamente 3 millones de dólares en pUSD drenados de menos de 15 billeteras. Los analistas también informaron que el pUSD robado fue puenteado de Polygon a Ethereum y cambiado por ETH antes de ser consolidado. Dado que Polymarket no ha confirmado ninguna de estas cifras, trátelas como estimaciones de analistas que pueden ser revisadas a medida que se rastree más.

Por qué esto importa incluso si su token es "seguro"

La lección aquí es incómoda pero importante: la seguridad del token y del contrato es necesaria, pero no es suficiente. Puede verificar un token en busca de un honeypot, confirmar que el contrato parece limpio y aún así perder fondos si el sitio web al que se conecta ha sido comprometido y aprueba una transacción maliciosa. El front-end es una superficie de ataque por derecho propio. Cuando la propia interfaz le miente, la única defensa que queda es examinar exactamente lo que su billetera le pide que firme.

Cómo protegerse de ataques de front-end y de aprobación

La conclusión

Polymarket parece haber respondido rápidamente, conteniendo el incidente y comprometiéndose a reembolsos completos, lo que limita el daño a los usuarios. Pero el episodio es un claro recordatorio de que en el mundo cripto el sitio web es parte de su modelo de amenaza. Una dependencia comprometida puede volver una interfaz de confianza en su contra en segundos, y ninguna auditoría de contrato lo salvará si usted mismo aprueba la transacción maliciosa. Reduzca la velocidad en cada firma, mantenga las aprobaciones ajustadas y trate las solicitudes inesperadas como hostiles hasta que se demuestre lo contrario. Esta es una historia en desarrollo y las cifras atribuidas a los analistas pueden cambiar. Este artículo es solo informativo y no constituye asesoramiento financiero.