La plataforma descentralizada Polymarket sufri\u00f3 un exploit de 660.000 d\u00f3lares<\/b> el viernes 22 de mayo de 2026 debido a un compromiso de seguridad detectado en su infraestructura operativa perif\u00e9rica. El incidente t\u00e9cnico encendi\u00f3 las alertas dentro de los entornos de finanzas descentralizadas durante las primeras horas de la ma\u00f1ana, obligando a los equipos de desarrollo a intervenir de urgencia.<\/p>\n
A pesar de la magnitud de la sustracci\u00f3n de activos, los representantes de la corporaci\u00f3n confirmaron de manera inmediata que los contratos inteligentes principales, los pools de liquidez y los mecanismos generales de resoluci\u00f3n de mercados permanecen completamente seguros y fuera de cualquier peligro.<\/p>\n
El vector de ataque y los movimientos financieros an\u00f3malos fueron detectados inicialmente por el analista e investigador independiente on-chain ZachXBT. A trav\u00e9s de un reporte urgente publicado en su canal de investigations de Telegram<\/a><\/b>, el especialista identific\u00f3 que la actividad maliciosa estaba directamente asociada al contrato del adaptador del Conditional Tokens Framework (CTF) de UMA, desplegado sobre la red de escalabilidad de segunda capa Polygon.<\/p>\n Seg\u00fan las verificaciones iniciales extra\u00eddas de los datos de la cadena de bloques, el atacante logr\u00f3 desviar un flujo constante de fondos que inicialmente superaba un m\u00ednimo de 520.000 d\u00f3lares<\/b>, depositando los activos de forma sistem\u00e1tica en una billetera externa bajo su control directo.<\/p>\n Para frenar las especulaciones respecto a posibles fallas estructurales en el c\u00f3digo del protocolo, el vicepresidente de ingenier\u00eda de Polymarket, Josh Stevens, ofreci\u00f3 aclaraciones t\u00e9cnicas sobre la naturaleza del incidente. Stevens detall\u00f3 que la vulnerabilidad estuvo estrictamente limitada al compromiso de una clave privada de seis a\u00f1os de antig\u00fcedad<\/b>.<\/p>\n Esta credencial hist\u00f3rica no formaba parte de los sistemas de custodia de los clientes, sino que se utilizaba de manera automatizada para operaciones rutinarias de reabastecimiento de gas de transacciones internas (top-up operations). Tan pronto como los sistemas de monitoreo interno ratificaron el acceso no autorizado, los ingenieros procedieron a revocar de forma definitiva todos los privilegios y permisos criptogr\u00e1ficos asociados a dicha clave.<\/p>\n We\u2019re aware of the security reports linked to rewards payout. User funds and market resolution are safe. <\/p>\n Findings point to a private key compromise of a wallet used for internal top-up operations, not contracts or core infrastructure.<\/p>\n More updates to follow.<\/p>\n — Polymarket Developers (@PolymarketDevs) May 22, 2026<\/a><\/p><\/blockquote>\nOrigen t\u00e9cnico de la vulnerabilidad en la clave privada<\/h2>\n
\n