- El hackeo de cuentas de usuario de Polymarket se rastreó hasta la autenticación de terceros, no a fallos del protocolo.
- La incorporación de monederos basada en correo electrónico permitió el vaciado de cuentas sin explotar contratos inteligentes.
- El incidente pone de relieve el riesgo sistémico de Web3, ya que los servicios de inicio de sesión de terceros se convierten en puntos de fallo.
Polymarket informó que los atacantes vaciaron un número limitado de cuentas de usuario tras explotar una vulnerabilidad en un servicio de inicio de sesión de terceros. Los usuarios describieron pérdidas repentinas de saldo y posiciones cerradas tras múltiples inicios de sesión. Polymarket confirmó el incidente el 24 de diciembre de 2025 y afirmó que solucionó el problema.
Los informes surgieron el 22 y 23 de diciembre de 2025 en X, Reddit y Discord. Un usuario de Reddit reportó tres intentos de inicio de sesión, seguidos de un saldo de $0.01. Otro usuario informó situaciones similares y dijo que la autenticación de dos factores por correo electrónico no detuvo el vaciado.
La autenticación de terceros convierte la incorporación en un punto débil compartido
Polymarket indicó que un proveedor de autenticación de terceros introdujo la vulnerabilidad. La empresa publicó en su canal oficial de Discord que identificó y resolvió el problema. Polymarket describió el incidente como afectando a un pequeño número de usuarios.
Polymarket no nombró al proveedor de terceros ni reveló el total robado. Sin embargo, la plataforma afirmó que su protocolo principal permaneció seguro, y que el problema se limitó a la autenticación. También indicó que la solución eliminó el riesgo en curso y que contactaría a los usuarios afectados.
Este enfoque desvía la atención de la mecánica del mercado y la dirige hacia la pila de incorporación cripto. Muchas plataformas dependen de servicios externos de identidad, monedero e inicio de sesión para agilizar los registros. En consecuencia, una debilidad en un proveedor puede exponer a usuarios en múltiples aplicaciones.
Los inicios de sesión de monedero por correo electrónico aumentan los riesgos en el acceso a monederos integrados
Las publicaciones de usuarios sugirieron que muchas de las cuentas afectadas utilizaban acceso por “magic link” basado en correo electrónico en lugar de conexiones directas de monedero. Varios informes señalaron a Magic Labs como una vía común de registro, aunque Polymarket no ha confirmado esa relación. Los usuarios también afirmaron que no hicieron clic en enlaces sospechosos antes del vaciado.
Los proveedores de monederos basados en correo electrónico suelen crear monederos Ethereum no custodiales durante el registro. Esa configuración atrae a usuarios primerizos de cripto que no gestionan extensiones ni frases semilla. Sin embargo, el proveedor aún controla partes clave del flujo de inicio de sesión y recuperación.
Usuarios de Polymarket describieron saldos de USDC vaciados sin señales claras de aprobación. Los informes también describieron posiciones cerradas rápidamente tras el acceso no autorizado. Como resultado, el incidente pone de relieve cómo la seguridad de la cuenta puede fallar por encima de la capa de contrato inteligente.
Relacionado: Polymarket lidera los protocolos cripto en tasa de retención de usuarios
Incidentes pasados de Polymarket muestran estrés en la capa de acceso
Esta brecha recuerda a informes anteriores de usuarios de septiembre de 2024 relacionados con inicios de sesión mediante Google. Los usuarios describieron vaciados de monederos donde los atacantes usaron llamadas de función “proxy”. Según los relatos de los usuarios, esas llamadas movieron fondos USDC a direcciones de phishing.
En ese momento, Polymarket trató los eventos como posibles exploits dirigidos vinculados a la autenticación de terceros. Ese historial es relevante porque apunta al mismo riesgo estructural. Los sistemas de autenticación y sesión pueden convertirse en objetivos de alto impacto.
Una amenaza separada surgió en noviembre de 2025, cuando estafadores explotaron las secciones de comentarios de Polymarket. Los usuarios reportaron pérdidas superiores a $500,000 después de que los atacantes publicaran enlaces disfrazados. Esos enlaces dirigieron a las víctimas a páginas fraudulentas que capturaron inicios de sesión por correo electrónico.
El incidente de diciembre de 2025 vuelve a centrarse en el riesgo de integración, no en fallos de liquidación. Polymarket no ha publicado un análisis técnico posterior ni una cronología completa del incidente. Tampoco ha indicado si reembolsará a los usuarios por las pérdidas.
Mientras tanto, los usuarios han comparado métodos de inicio de sesión y compartido direcciones de monedero en hilos públicos. Algunos usuarios han optado por conexiones directas de monedero para saldos más altos. El episodio refuerza una conclusión más amplia para la incorporación cripto: las vías de identidad y monedero de terceros ahora se encuentran en el camino crítico, por lo que pueden convertirse en el punto más frágil del ecosistema.
