Saltar al contenido
Est. MMXXVIVol. VI · № 302RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 302Secuestro de frontend

Ataque de phishing a la cadena de suministro del frontend de Polymarket

Un proveedor externo comprometido inyectó un script malicioso en el frontend de Polymarket, drenando unos 2,94 M$ en PUSD de las wallets de los usuarios mediante phishing.

Fecha
Víctima
Polymarket
Cadena(s)
PolygonEthereum
Estado
Fondos robados

El 25 de junio de 2026, Polymarket —el mayor mercado de predicciones on-chain— vio su frontend usado en contra de sus propios usuarios, drenando aproximadamente 2,94 millones de dólares de al menos 11 wallets después de que los atacantes inyectaran un script malicioso a través de un proveedor externo comprometido. Los contratos inteligentes de la plataforma nunca fueron tocados; el robo ocurrió por completo en la capa de aplicación, donde los usuarios confían en la interfaz que ven.

Qué ocurrió

El ataque fue una vulneración de la cadena de suministro y no una intrusión directa en la propia infraestructura de Polymarket. Los atacantes manipularon el código de una dependencia de un tercero que Polymarket servía a través de su sitio web, y el script alterado se entregó a algunos usuarios cuando cargaban el frontend. Cuando una víctima conectaba su wallet, el código inyectado le pedía firmar o aprobar transacciones que parecían rutinarias pero que en realidad entregaban el control de los fondos al atacante. El script apuntaba específicamente a PUSD, la stablecoin de garantía de Polymarket en Polygon. Una vez concedidas las aprobaciones, el atacante drenó PUSD de las cuentas afectadas, luego transfirió los fondos de Polygon a Ethereum mediante un puente y los cambió por unos 1.893 ETH para liquidar rápidamente y borrar el rastro. El analista de blockchain Specter detectó primero el drenaje on-chain, y la firma de seguridad PeckShield estimó las pérdidas totales en torno a 3 millones de dólares entre más de una docena de víctimas.

Consecuencias

Polymarket afirmó haber contenido el incidente en unos 15 minutos tras el primer informe público, haber eliminado la dependencia afectada y haber comenzado a contactar a las víctimas. La empresa se comprometió a reembolsar por completo a los usuarios afectados, aunque inicialmente no nombró al proveedor comprometido ni especificó cuántas cuentas se vieron afectadas. Las pérdidas reportadas subieron después hacia los 3,1 millones de dólares a medida que se identificaban más wallets, y la promesa de reembolso recibió críticas sobre cómo se verificaría. Dado que los fondos robados en sí no fueron recuperados del atacante —ya estaban transferidos por puente y convertidos en ETH—, el incidente sigue clasificado como pérdida; los reembolsos prometidos son una compensación de Polymarket, no una recuperación de los activos robados.

Por qué importa

Polymarket es un recordatorio de manual de que el frontend de un protocolo forma parte de su superficie de ataque, incluso cuando los contratos son impecables. El patrón refleja a BadgerDAO, donde un script malicioso inyectado en la aplicación web robaba aprobaciones de tokens directamente de las wallets de los usuarios, y a Curve, donde los atacantes secuestraron la interfaz en lugar del código. A medida que los ataques a la cadena de suministro de dependencias de terceros se vuelven más comunes, la lección es contundente: los usuarios no pueden distinguir un frontend envenenado de uno limpio, por lo que la carga recae en los operadores de asegurar cada dependencia que pueda llegar al diálogo de firma de transacciones.

Fuentes y evidencia on-chain

  1. [01]techcrunch.comhttps://techcrunch.com/2026/06/25/polymarket-says-hackers-stole-users-funds/
  2. [02]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/polymarket-customers-lose-3-million-in-supply-chain-attack/
  3. [03]crypto.newshttps://crypto.news/polymarket-to-refund-users-after-2-94m-frontend-phishing-attack/
  4. [04]crypto.newshttps://crypto.news/polymarket-hack-losses-rise-to-3-1m-as-refund-pledge-faces-scrutiny/
  5. [05]coinmarketcap.comhttps://coinmarketcap.com/academy/article/polymarket-hackers-drain-2-9m-user-wallets-refunds
  6. [06]thenextweb.comhttps://thenextweb.com/news/polymarket-hack-3-million-stolen-third-party-breach
  7. [07]en.cryptonomist.chhttps://en.cryptonomist.ch/2026/06/26/polymarket-phishing-attack-loss/

Registros relacionados