Polymarket confirma robo de $3M a usuarios mediante una brecha de terceros

Polymarket confirmó que los hackers robaron aproximadamente 3 millones de dólares de más de 11 usuarios a través de un proveedor externo comprometido en junio. El ataque implicó código malicioso en el frontend que engañó a los usuarios para que aprobaran transacciones fraudulentas, según la firma de seguridad blockchain Peckshield. La empresa declaró que está reembolsando a todas las víctimas afectadas en su totalidad, enfatizando que su infraestructura principal y los mercados en cadena no fueron violados directamente. El incidente resalta los crecientes desafíos de seguridad que enfrentan los mercados de predicción a medida que el sector experimenta un rápido crecimiento y un mayor escrutinio regulatorio.

Polymarket Rastrea el Ataque a una Inyección de Código de un Proveedor Tercero

Polymarket reveló que un compromiso en uno de sus proveedores externos permitió a los atacantes inyectar código malicioso en su frontend para algunos usuarios. El script manipulado impulsó una campaña de phishing que engañó a las víctimas para que aprobaran transacciones fraudulentas, que luego drenaron los fondos de sus billeteras conectadas.

"Hemos contenido el incidente", declaró Polymarket, agregando que eliminó la dependencia afectada. La empresa enfatizó que su propia infraestructura principal y los mercados en cadena no fueron violados, siendo el eslabón débil un proveedor externo cuyo código se servía a través del sitio web de Polymarket.

La firma de seguridad blockchain Peckshield estimó las pérdidas en aproximadamente 3 millones de dólares drenados de más de 11 víctimas. El ataque fue un compromiso de la cadena de suministro, en el que los adversarios atacan a un proveedor de confianza para llegar a una plataforma más grande en lugar de atacar directamente los sistemas de esa plataforma.

Debido a que el código malicioso residía en el frontend del sitio web en lugar de en los contratos inteligentes subyacentes, el exploit golpeó la capa con la que la mayoría de los usuarios interactúan. Los visitantes que cargaron la página comprometida recibieron indicaciones para firmar transacciones que parecían legítimas, pero que en su lugar entregaban el control de sus activos a los atacantes. Los fondos bloqueados en los mercados en cadena de Polymarket nunca estuvieron directamente en riesgo, pero los usuarios que aprobaron las transacciones falsificadas vieron vaciadas sus billeteras.

Fuente de la imagen: X

La empresa confirma reembolsos completos para todos los usuarios afectados

Polymarket declaró que está contactando a las víctimas individualmente mientras procesa los reembolsos, absorbiendo el costo de una brecha que se originó fuera de su propia infraestructura. La empresa está reembolsando a los usuarios afectados "en su totalidad".

La plataforma ha procesado más de 100 millones de operaciones hasta la fecha, lo que la convierte en uno de los lugares más activos en cripto. Polymarket y su rival Kalshi juntos impulsaron un mes récord en abril.

Los mercados de predicción enfrentan un mayor escrutinio regulatorio y de seguridad

Polymarket implementó recientemente herramientas de vigilancia de Chainalysis para monitorear la integridad del mercado. Legisladores estadounidenses han investigado los mercados de predicción sobre salvaguardas contra el uso de información privilegiada, con un proyecto de ley republicano que busca prohibir a los miembros del Congreso y sus familias apostar sobre resultados políticos.

El representante republicano Bryan Steil presentó la "Stop Lawmakers from Predicting Act", un proyecto de ley que prohibiría a los miembros de la Cámara, sus familias y el personal de alto rango intercambiar en plataformas de mercados de predicción.

Preguntas Frecuentes

¿Qué sucedió en la brecha de seguridad de Polymarket en junio?

Los hackers robaron aproximadamente 3 millones de dólares de más de 11 usuarios de Polymarket a través de código malicioso inyectado mediante un proveedor externo comprometido. El ataque utilizó phishing en el frontend para engañar a los usuarios y que aprobaran transacciones fraudulentas que drenaron sus billeteras conectadas.

¿Cómo está respondiendo Polymarket a los usuarios afectados?

Polymarket confirmó que está reembolsando a todas las víctimas afectadas en su totalidad y declaró que ha contenido el incidente eliminando la dependencia externa comprometida. La empresa enfatizó que su infraestructura principal y los mercados en cadena no fueron violados directamente.