Una plataforma descentralizada de mercados de predicción, Polymarket, confirmó el 25 de diciembre que los fondos de algunos usuarios fueron robados y sus saldos eliminados debido a una vulnerabilidad de seguridad en un proveedor de autenticación externo. Los usuarios afectados, en su mayoría, se registraron a través de Magic Labs, un servicio que permite iniciar sesión con la dirección de correo electrónico y crea automáticamente una wallet de Ethereum no custodiada.
Esta vulnerabilidad permitió eludir medidas de seguridad estándar como la autenticación en dos pasos, lo que ha generado una preocupación generalizada en el mercado sobre la seguridad de las integraciones de terceros en las plataformas de criptomonedas.
01 Resumen del incidente: riesgos de activos expuestos por vulnerabilidades de terceros
El robo de activos que sufrieron los usuarios de Polymarket no se debió a una vulnerabilidad en los contratos inteligentes principales de la plataforma, sino a un fallo de seguridad en un proveedor de autenticación externo del que depende la plataforma.
En su canal oficial de Discord, la plataforma declaró: "Recientemente descubrimos y solucionamos un problema de seguridad que afectó a un pequeño número de usuarios, causado por una vulnerabilidad en un proveedor de autenticación externo."
Aunque la plataforma afirma que el problema ha sido resuelto y que no existe un riesgo activo, no se ha revelado el número exacto de usuarios afectados ni el importe total perdido. Esta falta de información ha generado inquietud en la comunidad sobre la verdadera magnitud y gravedad del incidente.
02 Proceso del ataque: reconstrucción de casos típicos de usuarios
Según los reportes de usuarios en redes sociales, este incidente de seguridad mostró patrones claros.
Un usuario de Reddit detalló su experiencia: "Me desperté esta mañana con tres notificaciones de intentos de inicio de sesión en Polymarket—mi dispositivo no fue comprometido, Google no detectó actividad sospechosa y todos mis otros servicios funcionan con normalidad."
Sin embargo, al acceder a Polymarket, descubrió que todas sus operaciones habían sido cerradas y el saldo de su cuenta era de solo $0,01. Esto indicaba que su wallet había sido prácticamente vaciada.
Otro usuario informó de una situación similar. Aunque no había hecho clic en enlaces sospechosos y tenía activada la autenticación en dos pasos en su correo electrónico, no pudo evitar que los atacantes vaciaran su cuenta tras recibir tres notificaciones de intentos de inicio de sesión.
03 Usuarios afectados: objetivo, los registrados mediante Magic Labs
Las víctimas de este incidente de seguridad compartían una característica común: la mayoría había registrado su cuenta de Polymarket a través de Magic Labs.
Magic Labs es un servicio de inicio de sesión externo diseñado para quienes se inician en las criptomonedas. Permite a los usuarios acceder solo con una dirección de correo electrónico y el sistema genera automáticamente una wallet de Ethereum no custodiada en segundo plano. Aunque este diseño reduce considerablemente la barrera de entrada al mundo cripto, también introduce nuevos vectores de ataque.
Los atacantes parecen haber encontrado formas de eludir la autenticación multifactor, en vez de recurrir al phishing tradicional o a malware para comprometer los dispositivos de los usuarios. Esto ha suscitado serias dudas sobre el riesgo de que los servicios de autenticación de terceros se conviertan en puntos únicos de fallo.
04 Respuesta de la plataforma: la falta de claridad genera más dudas
La reacción de Polymarket ante el incidente mostró una clara tendencia a retener información, lo que ha generado más preguntas que respuestas.
En primer lugar, la plataforma indicó de manera vaga que solo un "pequeño número de usuarios" se vio afectado, sin aportar cifras concretas ni porcentajes. En segundo lugar, no se comunicó el importe total robado, lo que impide a la comunidad evaluar la gravedad del suceso. En tercer lugar, Polymarket no nombró explícitamente al proveedor externo implicado, aunque la comunidad sospecha ampliamente de Magic Labs.
En el plano técnico, Polymarket aseguró que el problema estaba "resuelto", pero no explicó qué medidas concretas se implementaron.
Algunos miembros de la comunidad han señalado que, tras el incidente, Polymarket parece haber ampliado la longitud de la contraseña de un solo uso de tres a seis dígitos, aunque la empresa no ha hecho comentarios públicos al respecto.
05 Lecciones de seguridad: riesgos sistémicos de las integraciones de terceros
No es la primera vez que Polymarket enfrenta incidentes de seguridad provocados por servicios externos. En septiembre de 2024, varios usuarios que iniciaron sesión con cuentas de Google reportaron que sus fondos en USDC fueron transferidos a direcciones de phishing.
El mes pasado, una campaña de phishing que explotó la sección de comentarios de la plataforma provocó pérdidas superiores a $500 000. Estos incidentes ponen de manifiesto un reto común para las plataformas cripto: aunque los contratos inteligentes principales sean seguros, la dependencia de servicios de terceros puede seguir generando vulnerabilidades de seguridad.
Analistas del sector señalan que, cuando los usuarios dependen de infraestructuras de autenticación unificadas que no están directamente bajo el control de la plataforma principal, los sistemas integrados se vuelven especialmente susceptibles a ataques.
06 Acciones para usuarios: consejos prácticos para proteger los activos
Para los usuarios de criptomonedas, el incidente de Polymarket deja importantes lecciones de seguridad.
El consejo más directo es evitar el uso de opciones de inicio de sesión de terceros y, en su lugar, conectar con las plataformas mediante wallets en las que se controlen las claves privadas. Aunque esto aumenta la barrera de entrada, sigue siendo la mejor forma de proteger los activos hasta que las plataformas demuestren que pueden integrar servicios de terceros de forma segura.
Es recomendable revisar periódicamente la actividad de la cuenta, activar todas las funciones de seguridad disponibles y estar atentos a cualquier intento de inicio de sesión inusual. También es sensato distribuir los activos entre varias plataformas, en vez de concentrar los fondos en un solo lugar, como estrategia para mitigar riesgos.
Con Polymarket planeando migrar de Polygon y lanzar su propia red Ethereum Layer 2, los usuarios deben extremar la atención a la seguridad de los activos durante la transición.
Mirando al futuro
A fecha de 25 de diciembre, el volumen total de operaciones de Polymarket había alcanzado los $1 538 millones, con 419 309 usuarios activos mensuales. Cuando los usuarios se despiertan y descubren que solo les queda $0,01 en la cuenta, el incidente deja de ser un simple fallo técnico: se convierte en una prueba seria para la arquitectura de seguridad de todo el ecosistema cripto.
La seguridad de los fondos de los usuarios sigue siendo la piedra angular de las operaciones en Gate. Ante los desafíos de seguridad cada vez más complejos del sector cripto, Gate continúa reforzando su infraestructura y ofreciendo a los usuarios múltiples capas de protección para sus activos.
