Polymarket confirma pérdidas de 520.000 dólares por el compromiso de una clave privada; los fondos de los usuarios no se vieron afectados

Polymarket ha confirmado que sufrió una salida no autorizada de más de 520.000 dólares desde monederos vinculados a su operativa en la red Polygon tras el compromiso de una clave privada. La plataforma de mercados de predicción subrayó que no se trató de una explotación de contratos inteligentes ni de una vulnerabilidad del protocolo. El investigador on-chain ZachXBT alertó el 22 de mayo de movimientos sospechosos e identificó dos direcciones asociadas a los contratos Adapter del UMA Conditional Token Framework (CTF) de Polymarket. Poco después, el equipo de desarrollo precisó que el monedero afectado era interno y se utilizaba para el pago de recompensas, y que el incidente no impactó en los fondos de los usuarios. Según la compañía, se desviaron aproximadamente 5.000 tokens POL y una cantidad no revelada de USDC desde ese monedero operativo. Polymarket aseguró que las resoluciones de mercado, el funcionamiento de la plataforma y la infraestructura de contratos inteligentes se mantuvieron intactos durante el episodio. La firma inició procedimientos de rotación de claves y mantiene abierta la investigación. El aviso inicial de ZachXBT se centró en transacciones que pasaban por los contratos CTF Adapter, lo que llevó a interpretar en un primer momento que la salida de fondos podía afectar a la infraestructura de liquidación de los mercados de predicción. La declaración posterior de Polymarket acotó el alcance al monedero interno comprometido. La compañía no ha detallado públicamente el vector del ataque. La naturaleza de un compromiso de claves suele apuntar a fallos de seguridad operativa y de control de accesos, más que a problemas de código. En este contexto, el mercado espera aclaraciones sobre cómo se obtuvo la clave y qué salvaguardas existían para ese monedero, incluyendo posibles medidas como monederos multifirma, módulos de seguridad de hardware y controles de acceso por niveles. Aunque la cifra es reducida frente a grandes hackeos en DeFi y ataques a puentes por cientos de millones, el incidente reaviva el foco sobre la gestión de claves y los procedimientos internos. Para los inversores y usuarios activos, el dato clave es la confirmación de que los fondos de clientes no se vieron afectados y que las posiciones abiertas y los resultados de mercado, según la plataforma, permanecen sin cambios. Aun así, el mercado suele exigir señales adicionales tras un episodio de este tipo: un informe técnico con cronología y causa raíz, revisión independiente de prácticas de seguridad operativa más allá de auditorías de contratos, y avances sobre el rastreo o la recuperación de los fondos. En un segmento como el de los mercados de predicción, donde la liquidez y la confianza son determinantes, la respuesta en las próximas semanas será relevante para medir el impacto en la actividad. En el plano sectorial, el caso se suma a la evidencia de que la seguridad operativa, especialmente la custodia y el control de claves privadas, requiere el mismo nivel de inversión y rigor que la seguridad de contratos inteligentes. Mientras esa asimetría persista, los compromisos de claves seguirán siendo uno de los vectores de ataque más habituales y evitables en cripto.