La plataforma descentralizada Polymarket sufrió un exploit de 660.000 dólares el viernes 22 de mayo de 2026 debido a un compromiso de seguridad detectado en su infraestructura operativa periférica. El incidente técnico encendió las alertas dentro de los entornos de finanzas descentralizadas durante las primeras horas de la mañana, obligando a los equipos de desarrollo a intervenir de urgencia.
A pesar de la magnitud de la sustracción de activos, los representantes de la corporación confirmaron de manera inmediata que los contratos inteligentes principales, los pools de liquidez y los mecanismos generales de resolución de mercados permanecen completamente seguros y fuera de cualquier peligro.
El vector de ataque y los movimientos financieros anómalos fueron detectados inicialmente por el analista e investigador independiente on-chain ZachXBT. A través de un reporte urgente publicado en su canal de investigations de Telegram, el especialista identificó que la actividad maliciosa estaba directamente asociada al contrato del adaptador del Conditional Tokens Framework (CTF) de UMA, desplegado sobre la red de escalabilidad de segunda capa Polygon.
Según las verificaciones iniciales extraídas de los datos de la cadena de bloques, el atacante logró desviar un flujo constante de fondos que inicialmente superaba un mínimo de 520.000 dólares, depositando los activos de forma sistemática en una billetera externa bajo su control directo.
Origen técnico de la vulnerabilidad en la clave privada
Para frenar las especulaciones respecto a posibles fallas estructurales en el código del protocolo, el vicepresidente de ingeniería de Polymarket, Josh Stevens, ofreció aclaraciones técnicas sobre la naturaleza del incidente. Stevens detalló que la vulnerabilidad estuvo estrictamente limitada al compromiso de una clave privada de seis años de antigüedad.
Esta credencial histórica no formaba parte de los sistemas de custodia de los clientes, sino que se utilizaba de manera automatizada para operaciones rutinarias de reabastecimiento de gas de transacciones internas (top-up operations). Tan pronto como los sistemas de monitoreo interno ratificaron el acceso no autorizado, los ingenieros procedieron a revocar de forma definitiva todos los privilegios y permisos criptográficos asociados a dicha clave.
We’re aware of the security reports linked to rewards payout. User funds and market resolution are safe.
Findings point to a private key compromise of a wallet used for internal top-up operations, not contracts or core infrastructure.
More updates to follow.
— Polymarket Developers (@PolymarketDevs) May 22, 2026
En paralelo, el equipo técnico oficial de la plataforma buscó consolidar la tranquilidad de la comunidad usuaria mediante la emisión de comunicados de prensa digitales. A través de una actualización publicada por la cuenta de PolymarketDevs en X, los desarrolladores insistieron en que el núcleo de la arquitectura del software no sufrió modificaciones de código ni alteraciones maliciosas. Esta declaración buscaba garantizar que todos los contratos de apuestas vigentes se liquidarán bajo los parámetros normales preestablecidos de manera autónoma.
We’re aware of the security reports linked to rewards payout. User funds and market resolution are safe.
Findings point to a private key compromise of a wallet used for internal operations, not contracts or core infrastructure.
More updates to follow.
— Kakusan (@kakujain) May 22, 2026
Por su parte, el director de producto de Polymarket, Akanshu Jain, se sumó a las voces institucionales utilizando sus canales oficiales de comunicación. Mediante una declaración difundida desde la cuenta de kakujain en X, el ejecutivo enfatizó que los saldos depositados por los participantes independientes de la plataforma nunca estuvieron expuestos al vector de ataque. La aclaración de Jain sirvió para contener la incertidumbre en un momento de alta interacción transaccional dentro del ecosistema de predicciones descentralizadas.
Diversas firmas dedicadas al análisis de datos on-chain estructuraron un seguimiento pormenorizado del comportamiento de la dirección del explotador. La firma de visualización de datos de bloques Bubblemaps reveló que el atacante implementó un mecanismo automatizado para retirar de forma recurrente partidas de 5.000 tokens nativos de Polygon (POL) en lapsos de apenas 30 segundos cada una.
Esta velocidad de extracción provocó un crecimiento acelerado del botín acumulado en la billetera de destino. Posteriormente, la plataforma de análisis Lookonchain estimó que el valor acumulado del exploit alcanzó los 660.000 dólares exactamente a las 9:01 AM UTC del viernes, respaldado por un registro en Polygonscan que mostraba más de 100 transferencias de baja cuantía enviadas secuencialmente hacia la dirección del atacante.
Integración del sistema de oráculos y volumen operativo
Este desafío de seguridad ocurre en un periodo donde la plataforma mantiene un rol preponderante en los mercados digitales globales. De acuerdo con las métricas de rendimiento comercial provistas por el agregador DefiLlama, el protocolo se consolida como el segundo mercado de predicción más grande a nivel mundial, registrando un volumen de negociación mensual de 3.700 millones de dólares.
Esta tracción en los mercados coincide con planes corporativos recientes para expandir sus servicios de datos, lo que incluye alianzas estratégicas para transformar la información de empresas privadas en activos financieros negociables de renta variable e índices informativos.
El componente tecnológico afectado, el adaptador CTF de UMA, constituye el puente de comunicación con la solución Optimistic Oracle de la red UMA, una herramienta integrada en la plataforma desde el 3 de febrero de 2022. Este diseño de software permite automatizar y descentralizar la resolución de disputas de los contratos de predicción, garantizando la transparencia de los cierres sin depender de arbitrajes centralizados.
La resolución de este incidente mediante la revocación de accesos periféricos demuestra que la falla respondió a la gestión de credenciales operativas históricas y no a debilidades lógicas en la red UMA o en el diseño de los smart contracts principales. Al momento de redactar esta nota, la comunidad permanece atenta a la publicación de un reporte forense detallado por parte de Polymarket y a cualquier declaración complementaria de los desarrolladores de UMA sobre el destino de los tokens sustraídos.
Este artículo tiene fines informativos y no constituye asesoramiento financiero.
