Una clave privada comprometida que data de hace seis años permitió a un atacante acceder al monedero interno de recompensas de Polymarket, resultando en aproximadamente $700,000 en fondos robados en 16 direcciones. La plataforma de mercados de predicción, que opera en la cadena de bloques Polygon, confirmó que la brecha no afectó los depósitos de los usuarios ni los resultados de los mercados.
Piénsalo como alguien que encuentra una llave de repuesto vieja del armario de suministros de oficina. No entró en la bóveda, pero limpió por completo el armario.
Cómo se desarrolló el drenaje
Los investigadores on-chain ZachXBT y Bubblemaps fueron los primeros en señalar la actividad sospechosa el 22 de mayo. Las estimaciones iniciales fijaron el daño en aproximadamente $520,000, pero esa cifra aumentó a alrededor de $700,000 mientras los investigadores rastreaban los fondos robados a través de múltiples direcciones, exchanges y mezcladores.
El atacante se movió rápidamente, extrayendo 5.000 tokens POL cada 30 segundos en las etapas iniciales. Ese tipo de ritmo metódico sugiere automatización, no alguien haciendo clics frenéticos.
El monedero comprometido era una dirección de administración heredada utilizada específicamente para distribuir recompensas de participación de los usuarios. En inglés: era un monedero de recarga que financiaba incentivos promocionales, no un cofre que contenía garantías de los operadores o fondos de liquidación del mercado.
Los esfuerzos para congelar activos produjeron resultados parciales. Aproximadamente $164,000 de una porción de $573,000 fueron congelados, lo que significa que la mayor parte de los fondos robados ya habían sido lavados a través de exchanges y servicios de mezcla antes de que fuera posible intervenir.
La clave en sí tenía seis años. Para contextualizar, seis años en infraestructura cripto son aproximadamente equivalentes a ejecutar el sistema de seguridad de un banco con Windows XP. La antigüedad de la clave revela una vulnerabilidad común pero evitable: las organizaciones crecen más allá de sus prácticas de seguridad iniciales pero olvidan retirar las credenciales antiguas.
La respuesta de Polymarket y lo que se mantuvo seguro
El equipo de desarrollo de Polymarket se movió para tranquilizar a los usuarios casi inmediatamente, afirmando que los fondos de los usuarios, los contratos inteligentes y los sistemas de negociación no se vieron afectados. Las operaciones principales de la plataforma, incluyendo la creación de mercados, la negociación y el asentamiento, continuaron sin interrupción.
La brecha se limitó completamente al monedero de distribución de recompensas. No se manipularon resultados del mercado. No se tocaron los saldos de los usuarios.
Esa distinción importa. Polymarket ha emergido como uno de los mercados de predicción más prominentes en cripto, atrayendo una atención significativa durante eventos políticos y ciclos de noticias importantes. Una brecha que realmente comprometiera los fondos de los usuarios o la integridad del mercado sería una historia fundamentalmente diferente, una que podría socavar todo el modelo de confianza de los mercados de predicción descentralizados.
La empresa dijo que está llevando a cabo una investigación exhaustiva sobre el incidente. Será importante observar si esta investigación lleva a la divulgación pública de cómo se almacenó la clave, quién tuvo acceso y qué políticas de rotación (o su ausencia) estaban en vigor.
Un patrón familiar en la seguridad criptográfica
Esta no es la primera vez que una clave de administrador obsoleta ha sido el eslabón débil. La industria cripto tiene un problema recurrente con la infraestructura heredada. Los proyectos se lanzan con un equipo pequeño, generan claves para varias billeteras operativas y luego crecen rápidamente sin auditar esas credenciales iniciales.
El vector de ataque aquí no fue un error en un contrato inteligente, una explotación de préstamo relámpago ni una manipulación sofisticada de DeFi. Fue una clave privada que debería haberse rotado o dado de baja hace años. Las explotaciones más simples suelen ser las más dañinas precisamente porque son las que nadie piensa en revisar.
Incidentes comparables han afectado a otros proyectos en el pasado. Los monederos calientes, las claves de administrador y las direcciones de despliegue de los primeros días de un proyecto representan una superficie persistente para los atacantes. Una vez que una clave privada se ve comprometida, ya sea mediante phishing, malware o un interno, no existe ningún mecanismo en la cadena para detener al titular de ejecutar transacciones.
Los monederos de firma múltiple, los módulos de seguridad de hardware y la rotación regular de claves son todas mitigaciones estándar. El hecho de que una clave única, de seis años de antigüedad, aún tuviera autoridad sobre un monedero con fondos sugiere que al menos una de esas prácticas no estaba en vigor para esta dirección en particular.
Qué significa esto para los inversores y usuarios
Lo cierto es que la pérdida de $700,000 es relativamente modesta según los estándares de explotaciones en cripto. Pero el daño reputacional puede superar la cifra en dólares, especialmente para una plataforma que depende de la confianza de los usuarios para funcionar.
Los mercados de predicción son inherentemente dependientes de la confianza. Los usuarios están apostando dinero real sobre resultados, y necesitan creer que la plataforma que maneja sus fondos y resuelve sus apuestas es operativamente sólida. Incluso una brecha limitada a un monedero de recompensas introduce dudas sobre qué otros sistemas heredados podrían estar ocultos en segundo plano.
Para los operadores que utilizan activamente Polymarket, el riesgo inmediato parece estar contenido. Los fondos de los usuarios no se vieron comprometidos, y los contratos inteligentes de la plataforma no estuvieron involucrados en el ataque. La infraestructura operativa que maneja depósitos, retiros y liquidaciones de mercados parece haber estado completamente separada del monedero comprometido.
La preocupación mayor es sistémica. Si Polymarket, una de las plataformas de predicción más conocidas y bien financiadas, estaba utilizando una clave de seis años de antigüedad con acceso activo a fondos, ¿cómo es la higiene en la gestión de claves en proyectos más pequeños y con menos recursos? Este incidente debe animar a los usuarios a hacer preguntas más difíciles sobre la seguridad operativa de cualquier plataforma donde depositen fondos, no solo sobre los informes de auditoría de contratos inteligentes.
Las plataformas competidoras pueden aprovechar este momento para diferenciarse en sus prácticas de seguridad. Políticas transparentes de rotación de claves, requisitos de multi-firma para todos los monederos operativos y auditorías de seguridad periódicas realizadas por terceros podrían convertirse en requisitos básicos para las plataformas que buscan atraer volumen serio. En un mercado donde la confianza es el producto, la plataforma que pueda demostrar de manera creíble la seguridad operativa más estricta tiene una ventaja significativa.
Por ahora, la congelación parcial de $164,000 significa que la gran mayoría de los fondos robados probablemente sean irrecoverables. Los fondos que atravesaron mezcladores e intercambios son, para fines prácticos, perdidos. Si las autoridades o la forense en cadena pueden rastrear los fondos restantes hasta una parte identificable sigue siendo una pregunta abierta, pero las posibilidades disminuyen con cada salto a través de un servicio de mezcla.