En Resumen

  • Hackers comprometieron un proveedor externo de Polymarket e inyectaron código malicioso en su frontend, robando $3 millones.
  • Bubblemaps estimó que menos de 15 cuentas fueron afectadas y Polymarket confirmó el reembolso total a los usuarios.
  • Los atacantes drenaron pUSD de billeteras de clientes, convirtieron los fondos en ETH y los compilaron en una sola wallet.

Uno de los proveedores externos de Polymarket sufrió un hackeo el jueves, según informó el mercado de predicciones, dejando su sitio web vulnerable a un exploit que, según analistas, provocó pérdidas de millones de dólares para los usuarios de la plataforma.

Polymarket declinó hacer comentarios cuando fue contactada por Decrypt, y no reveló públicamente cuál de sus proveedores fue comprometido. Sin embargo, el ataque permitió a los hackers inyectar código malicioso en el front-end del mercado de predicciones, según señaló la empresa en una publicación en X.

En total, los hackers robaron aproximadamente $3 millones en fondos de clientes.

Los investigadores on-chain de Bubblemaps concluyeron que el daño potencial del hackeo fue en gran medida contenido, con menos de 15 cuentas de usuarios afectadas. La firma de investigación blockchain no respondió de inmediato a la solicitud de comentarios de Decrypt.

Polymarket afirmó que está en proceso de reembolsar en su totalidad a los clientes afectados, y que el problema en el frontend ha sido contenido y eliminado.

Aún no está claro qué medidas puede tomar la plataforma de mercado de predicciones para evitar que un exploit como este ocurra en el futuro, dado que depende de algunos negocios externos de terceros que aparentemente están directamente involucrados en la operación del sitio.

Los atacantes parecen haber drenado fondos de las billeteras de clientes de Polymarket que contenían pUSD, una stablecoin vinculada al dólar específica de Polymarket y respaldada por USDC, que se utiliza para facilitar todas las operaciones en la plataforma. Luego convirtieron los fondos robados en ETH y los compilaron en una billetera de Ethereum, donde, al momento de esta publicación, permanecen.

El mes pasado, Polymarket sufrió otro hackeo, de una billetera utilizada por empleados de la empresa para recargar y pagar recompensas a los usuarios. El exploit le costó a la empresa aproximadamente $700.000, y probablemente fue causado por el compromiso de una clave privada. No pareció afectar la infraestructura de la empresa ni representar riesgos más amplios, según indicaron expertos en ese momento.

Sin embargo, tanto ese exploit como el de hoy apuntan a la capacidad de los hackers para infiltrarse en grandes empresas por los márgenes, incluso cuando los protocolos principales permanecen seguros.

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.