El 25 de junio de 2026, Polymarket, la mayor plataforma de mercados de predicción del mundo, confirmó un ataque informático. Según las estimaciones on-chain de PeckShield y Bubblemaps, cerca de 3 millones de dólares fueron sustraídos a sus usuarios.
El detalle que lo cambia todo es uno solo: los smart contracts no fueron tocados. Lo que cedió fue el sitio web.
¿Qué pasó en Polymarket el 25 de junio?
Básicamente, en la mañana del 25 de junio, un proveedor externo de Polymarket fue comprometido. A través de esa brecha, los atacantes inyectaron un script malicioso en el frontend de la plataforma, que fue servido a algunos usuarios que interactuaban con el sitio.
Según las estimaciones on-chain de PeckShield y Bubblemaps, se vaciaron cerca de 3 millones de dólares de menos de 15 wallets. Los fondos estaban en pUSD, la stablecoin respaldada por USDC utilizada en Polymarket. Desde allí fueron transferidos de Polygon a Ethereum y convertidos en aproximadamente 1.893 ETH, un movimiento clásico para difuminar el rastro.
This morning we discovered a 3rd party vendor had been compromised, injecting a malicious script into our frontend for some users. We've contained it & removed the affected dependency. We're contacting impacted users & refunding them in full.
, Polymarket Traders (@PolymarketTrade) June 25, 2026
Polymarket declaró haber contenido el incidente, eliminado la dependencia comprometida e iniciado el reembolso completo de los usuarios afectados.
Por qué no fue un ataque a la blockchain
Esta es la parte que importa, y que buena parte de los titulares omite. El ataque no explotó ninguna vulnerabilidad en los smart contracts de Polymarket. El protocolo, en la blockchain, funcionó exactamente como debía.
Se trató de un ataque a la cadena de suministro (supply-chain attack): en lugar de forzar el código on-chain, los agresores golpearon un eslabón débil externo, el proveedor que suministra código al sitio web. Una aplicación descentralizada tiene dos capas: los smart contracts inmutables en la blockchain y la interfaz web que los conecta con el usuario. La primera estaba blindada. La segunda, no.
Es la paradoja de la seguridad en Web3. Puedes tener una cámara acorazada a prueba de bombas, pero si alguien manipula la puerta de entrada del edificio, tu dinero sale igual.
Cómo robaron los fondos
El script inyectado actuaba como un ataque de phishing silencioso. A los usuarios que recibían la versión comprometida del sitio se les presentaban solicitudes de transacción manipuladas. Quien firmaba autorizaba, de hecho, la transferencia de sus pUSD hacia la dirección del atacante.
Todo ocurrió de forma visible en la blockchain. Precisamente por eso los investigadores on-chain reconstruyeron el recorrido en pocas horas: el analista Specter fue el primero en señalar los movimientos sospechosos, seguido de Bubblemaps y PeckShield. Cualquiera, con un explorador de blockchain, podía ver cómo los fondos confluían hacia un único wallet.
We've resolved the issue & are refunding affected users in full: https://t.co/xaYD7666EG
, LeGate (@williamlegate) June 25, 2026
No es el primer caso: el patrón de Polymarket
El problema es que no se trata de un episodio aislado. Es el segundo incidente de seguridad en dos meses. En mayo de 2026, Polymarket sufrió un ataque diferente, con cerca de 700.000 dólares sustraídos de wallets operativos internos utilizados para los premios, debido a una clave privada de seis años de antigüedad. En aquella ocasión, los fondos de los usuarios no fueron afectados.
Los dos ataques a Polymarket en 2026
Estimaciones on-chain (PeckShield, Bubblemaps). Mayo: clave privada, fondos internos. Junio: supply-chain, fondos de usuarios
clave privadaJunio 2026
supply-chain
El ataque llega en la peor semana de la plataforma. Una investigación del Wall Street Journal reveló que Polymarket habría pagado a creadores de contenido para publicar videos de apuestas y ganancias falsas. A esto se suman casos recientes de insider trading y bloqueos regulatorios en varios países, incluidos algunos de América Latina donde la plataforma tiene usuarios activos.
Qué dice el panorama más amplio
Polymarket no es una excepción. Según DefiLlama, este fue el ataque número 89 a la seguridad registrado en el segundo trimestre de 2026, el número más alto jamás registrado en un solo trimestre. En junio, las pérdidas por exploits alcanzaron los 74,9 millones de dólares, frente a los 60,5 millones de mayo, según DefiLlama.
De dónde vienen las pérdidas por exploits
Cuota sobre pérdidas por exploits crypto en los últimos 30 días. Fuente: DefiLlama, junio 2026
- Compromiso de claves privadas: 43%
- Otros vectores (supply-chain, phishing, smart contracts): 57%
El mensaje de los datos es claro. Cada vez con más frecuencia, lo que falla no es el código de la blockchain, sino la seguridad operativa: claves mal gestionadas y dependencias externas sin control.
Qué significa para quienes usan DApps
La lección es incómoda, pero necesaria. Confiar en un protocolo descentralizado seguro no es suficiente si la interfaz que usas para acceder a él puede ser manipulada. La capa web sigue siendo una enorme superficie de ataque, incluso en el mundo Web3.
La defensa concreta es una sola: leer cada transacción antes de firmarla, nunca en automático. Para importes significativos, vale la pena considerar la autocustodia con un wallet hardware, que muestra la dirección de destino real en su propia pantalla, donde un script malicioso no puede intervenir. Y aprender a reconocer las señales de un ataque sigue siendo el mejor seguro posible.
Polymarket reaccionó con rapidez y se comprometió a reembolsar a todos los afectados. Queda la pregunta de fondo, la misma que pesa sobre un sector en pleno crecimiento como los mercados de predicción: ¿la seguridad operativa está siguiendo el ritmo de los volúmenes? Dos brechas en dos meses sugieren que no.
Este artículo tiene un propósito puramente informativo y no constituye asesoramiento financiero ni de inversión. Los criptoactivos son de alto riesgo y puedes perder parte o la totalidad del capital invertido.
