Polymarket Hit By Third-Party Breach Drains $2.9m, Raises Compliance Risks

Polymarket afirma que una filtración de un proveedor externo, descubierta el jueves, permitió a los atacantes inyectar código malicioso en la interfaz de su sitio web, lo que dio lugar a una campaña de phishing dirigida a múltiples usuarios. Según el analista de blockchain Specter, el script inyectado se utilizó para drenar aproximadamente 2,94 millones de dólares de al menos 11 monederos de Polymarket.

Polymarket indicó que el incidente ha sido contenido y que la dependencia comprometida ha sido eliminada. La plataforma también dijo que los usuarios afectados recibirán reembolsos completos. Cointelegraph se puso en contacto con Polymarket para pedir comentarios, pero no recibió respuesta antes de la publicación.

Conclusiones clave

  • Polymarket informó sobre una intrusión de un proveedor de terceros que permitió a los atacantes inyectar un script malicioso en su front end.

  • El analista Specter vinculó el código malicioso con actividad de phishing, estimando pérdidas de alrededor de 2,94 millones de dólares en al menos 11 carteras de usuarios.

  • Polymarket dijo que el problema fue contenido, que se eliminó una dependencia y que los usuarios recibirán un reembolso completo.

  • Los datos de reporte de seguridad en blockchain indican que el incidente encaja dentro de un volumen alto de brechas cripto en el trimestre.

  • Por separado, los datos de DefiLlama muestran que el compromiso de claves privadas sigue siendo la causa dominante de las pérdidas por explotación reportadas en los últimos 30 días.

Compromiso del front end y pérdidas de carteras impulsadas por phishing

El incidente de Polymarket se centra en un fallo tipo cadena de suministro, más que en una explotación directa de un contrato inteligente. Specter dijo que el script malicioso parecía habilitar un ataque de phishing que redirigía o inducía a los usuarios a comprometer credenciales o autorizaciones, culminando en el movimiento no autorizado de activos desde las carteras de los usuarios.

En la práctica, este tipo de compromiso del front end puede ser especialmente dañino para instituciones y equipos de cumplimiento porque desplaza el perfil de riesgo lejos de la mecánica en cadena únicamente. Incluso cuando los contratos no cambian, el código malicioso en la capa web puede manipular el comportamiento de los usuarios, comprometer supuestos de seguridad relacionados con la sesión o engañar a los usuarios para que firmen transacciones dañinas. Para entidades reguladas que se integran con o enrutan el acceso de usuarios a servicios cripto, incidentes como este resaltan la necesidad de una gobernanza de proveedores más estricta y de controles continuos de integridad sobre dependencias servidas externamente.

La respuesta de Polymarket sugiere que el componente afectado fue identificado y eliminado tras el descubrimiento. Su compromiso de reembolsar completamente a los usuarios también plantea consideraciones operativas y de políticas: aunque los reembolsos pueden mitigar el daño al usuario, no abordan automáticamente si los controles subyacentes—como los procesos de actualización de software de terceros, el monitoreo de dependencias y los manuales de respuesta a incidentes—fueron suficientes para evitar la repetición.

El reporte de brechas de DefiLlama destaca un patrón de métodos de explotación recurrentes

El caso de Polymarket llega mientras la notificación de incidentes de seguridad en cripto se mantiene elevada. Los datos de DefiLlama sitúan el evento dentro de un cronograma más amplio: las estadísticas del segundo trimestre dentro del periodo hasta la fecha del segundo trimestre indican que el trimestre tuvo su etapa más comprometida por número de incidentes, según la referencia de Cointelegraph a DefiLlama y su informe sobre el Q2.

DefiLlama también informa que en junio se registraron pérdidas por explotación de criptomonedas de 74,9 millones de dólares en 29 incidentes, superando el total de mayo de 60,5 millones, pero quedando muy por debajo del pico de abril de 644 millones.

Entre los mayores incidentes de junio estuvieron una explotación del Protocolo Humanity por 36 millones de dólares, una explotación puente de Secret Network por 4,7 millones, dos explotaciones separadas de Aztec valoradas en 2,1 millones cada una, y una explotación puente por 1,7 millones vinculada a Taiko. Aunque cada explotación involucra rutas técnicas distintas, en conjunto refuerzan una realidad clave de cumplimiento: la frecuencia y la magnitud de los incidentes siguen presionando la gestión del riesgo operativo en bolsas, carteras y proveedores de servicios con exposición a nivel de protocolo.

El desglose de DefiLlama sobre pérdidas en los últimos 30 días apunta a lacomprometimiento de claves privadas como el vector líder más común, responsable del 43% de las pérdidas por explotación reportadas. Las explotaciones de prueba falsa representaron el 10% y los honeypots de reverse MEV el 8%. Para los equipos de riesgo, estas categorías importan porque indican si los controles deben priorizar la gestión de claves, la integridad de firmas/autorizaciones o salvaguardas de enrutamiento de transacciones para sistemas automatizados y para integradores.

El historial de claves privadas en Polymarket resalta múltiples superficies de amenaza

Cerca de un mes antes del incidente en el front end de Polymarket, el mercado de predicciones reveló una explotación adicional atribuida a una clave privada de seis años de antigüedad utilizada para operaciones internas de recarga. Cointelegraph informó previamente que Polymarket dijo que los contratos y los fondos de los usuarios permanecieron seguros en ese caso anterior y que todos los permisos asociados con la clave comprometida fueron revocados.

En conjunto, los dos eventos subrayan que Polymarket—o cualquier servicio cripto con puntos de contacto en cadena y fuera de ella—puede enfrentar múltiples superficies de amenaza distintas: la gestión de claves en backend para procesos operativos, y dependencias entregadas por la web para interacciones orientadas al usuario. Para los actores institucionales, la combinación puede complicar la seguridad: incluso cuando se remedia un área de control (por ejemplo, permisos revocados tras un problema con una clave), un plano de control separado—como la integridad de dependencias de terceros—puede seguir introduciendo un riesgo nuevo.

La escala de Polymarket también implica apuestas más altas para la gobernanza de incidentes. DefiLlama informa que la plataforma mantiene más de 450 millones de dólares en valor total bloqueado, frente a 112 millones de dólares hace un año.

Implicaciones regulatorias y de cumplimiento para firmas cripto e integradores

Aunque Polymarket opera en un mercado con una regulación en evolución, los incidentes de esta naturaleza alimentan directamente las expectativas de cumplimiento para empresas cripto. Bajo marcos como la regulación de la UE sobre Mercados en Criptoactivos (MiCA), se espera que las firmas cumplan obligaciones de gobernanza y resiliencia operativa, mientras que los requisitos de AML/CFT bajo regímenes aplicables normalmente se extienden a los procesos de “conozca a su cliente” y a la protección de los fondos de los usuarios. La intrusión en la cadena de suministro y el robo impulsado por phishing también plantean interrogantes para contrapartes reguladas sobre cómo se fundamentan en la práctica las afirmaciones de protección de activos del cliente.

Para bolsas, proveedores de billeteras, procesadores de pagos y proveedores de servicios institucionales, los incidentes vinculados a proveedores pueden desencadenar revisiones internas adicionales bajo políticas de gestión de riesgo de terceros. Las áreas comunes incluyen: el ciclo de vida de la gestión de dependencias, la auditabilidad de las canalizaciones de compilación y despliegue del front end, los procedimientos de detección y contención de incidentes, y la idoneidad de las políticas de reembolso o restitución. Incluso si el robo se origina fuera del código en cadena, los daños a usuarios pueden traducirse igualmente en un escrutinio regulatorio sobre protección al consumidor, divulgaciones y controles de riesgo operativo.

Las diferencias transfronterizas en prioridades de aplicación también pueden complicar aún más la respuesta. En Estados Unidos, donde las acciones de cumplimiento contra cripto frecuentemente han abordado la seguridad, la protección del consumidor y presuntas fallas en controles de cumplimiento, y donde las agencias federales coordinan mediante procesos legales y citaciones, un incidente de phishing impulsado por el front end aún puede enmarcarse como una falla al no mantener salvaguardas razonables. Por separado, las obligaciones de AML/KYC no impiden el phishing, pero pueden influir en cómo se identifican los fondos robados, cómo se apoya a los usuarios afectados y cómo se prioriza la actividad sospechosa.

Para el monitoreo de cumplimiento institucional, el elemento más accionable es el patrón del incidente en sí: la intrusión de terceros que lleva a la decepción de usuarios, junto con vectores persistentes de explotación como el compromiso de claves. Estos temas sugieren que la gobernanza debe abarcar tanto controles técnicos (gestión de claves, permisos, integridad de transacciones) como controles administrativos (supervisión de proveedores, aseguramiento de cadena de suministro de software y medidas de respuesta documentadas).

Perspectiva de cierre

Polymarket dice que la dependencia comprometida ha sido eliminada y que los usuarios afectados serán reembolsados. La siguiente fase probablemente implicará una validación detallada posterior al incidente de la cadena de suministro comprometida, la verificación de la exposición residual en toda su pila de entrega del front end y la alineación continua de los controles técnicos con las expectativas de cumplimiento que las instituciones aplican para la protección del cliente y la resiliencia operativa. La notificación de incidentes de seguridad seguirá siendo un punto de referencia clave para evaluar si este caso refleja un patrón de riesgo sistémico más amplio o un fallo aislado de un proveedor.

Este artículo se publicó originalmente como Polymarket Hit by Third-Party Breach Drains $2.9M, Raises Compliance Risks on Crypto Breaking News – your trusted source for crypto news, Bitcoin news, and blockchain updates.