- El hackeo de cuentas de usuario de Polymarket se rastreó hasta una autenticación de terceros, no a fallas del protocolo.
- La incorporación de billeteras por correo electrónico permitió el vaciado de cuentas sin explotar contratos inteligentes.
- El incidente resalta el riesgo sistémico de Web3 a medida que los servicios de inicio de sesión de terceros se convierten en puntos de falla.
Polymarket informó que los atacantes vaciaron un número limitado de cuentas de usuario tras explotar una vulnerabilidad en un servicio de inicio de sesión de terceros. Los usuarios describieron pérdidas de saldo repentinas y posiciones cerradas después de múltiples inicios de sesión. Polymarket confirmó el incidente el 24 de diciembre de 2025 y aseguró que solucionó el problema.
Los reportes surgieron el 22 y 23 de diciembre de 2025 en X, Reddit y Discord. Un usuario de Reddit reportó tres intentos de inicio de sesión, seguidos de un saldo de $0,01. Otro usuario informó situaciones similares y dijo que la autenticación de dos factores por correo electrónico no detuvo el vaciado.
La autenticación de terceros convierte la incorporación en un punto débil compartido
Polymarket indicó que un proveedor de autenticación de terceros introdujo la vulnerabilidad. La empresa publicó en su canal oficial de Discord que identificó y resolvió el problema. Polymarket describió el incidente como algo que afectó a un pequeño número de usuarios.
Polymarket no nombró al proveedor de terceros ni reveló el total robado. Sin embargo, la plataforma afirmó que su protocolo principal permaneció seguro y que el problema se limitó a la autenticación. También señaló que la solución eliminó el riesgo persistente y que contactaría a los usuarios afectados.
Este enfoque desvía la atención de la mecánica del mercado hacia la infraestructura de incorporación cripto. Muchas plataformas dependen de servicios externos de identidad, billetera e inicio de sesión para agilizar los registros. En consecuencia, una debilidad en un proveedor puede exponer a usuarios en múltiples aplicaciones.
Los inicios de sesión con billetera por correo electrónico aumentan los riesgos de acceso a billeteras embebidas
Las publicaciones de usuarios sugirieron que muchas de las cuentas afectadas usaban acceso por “magic link” basado en correo electrónico en lugar de conexiones directas de billetera. Varios reportes señalaron a Magic Labs como una ruta común de registro, aunque Polymarket no confirmó esa relación. Los usuarios también dijeron que no hicieron clic en enlaces sospechosos antes de los vaciados.
Los proveedores de billeteras basadas en correo electrónico suelen crear billeteras Ethereum no custodiales durante el registro. Ese sistema atrae a usuarios cripto primerizos que no gestionan extensiones ni frases semilla. Sin embargo, el proveedor aún controla partes clave del flujo de inicio de sesión y recuperación.
Usuarios de Polymarket describieron saldos de USDC vaciados sin señales claras de aprobación. Los reportes también mencionaron posiciones cerradas rápidamente tras el acceso no autorizado. Como resultado, el incidente resalta cómo la seguridad de la cuenta puede fallar por encima de la capa del contrato inteligente.
Relacionado: Polymarket lidera los protocolos cripto en tasa de retención de usuarios
Incidentes previos de Polymarket muestran presión sobre la capa de acceso
Esta brecha recuerda reportes anteriores de usuarios de septiembre de 2024 relacionados con inicios de sesión mediante Google. Los usuarios describieron vaciados de billeteras donde los atacantes usaron llamadas de función “proxy”. Según los relatos, esas llamadas movieron fondos USDC a direcciones de phishing.
En ese momento, Polymarket trató los eventos como posibles exploits dirigidos vinculados a la autenticación de terceros. Ese antecedente es relevante porque apunta al mismo riesgo estructural. Los sistemas de autenticación y sesión pueden convertirse en objetivos de alto impacto.
Una amenaza separada surgió en noviembre de 2025, cuando estafadores explotaron las secciones de comentarios de Polymarket. Los usuarios reportaron pérdidas superiores a $500,000 después de que los atacantes publicaran enlaces disfrazados. Esos enlaces dirigieron a las víctimas a páginas fraudulentas que capturaban inicios de sesión por correo electrónico.
El incidente de diciembre de 2025 vuelve a centrarse en el riesgo de integración, no en fallas de liquidación. Polymarket no ha publicado un análisis técnico posterior ni una cronología completa del incidente. Tampoco ha dicho si reembolsará a los usuarios por las pérdidas.
Mientras tanto, los usuarios han comparado métodos de inicio de sesión y compartido direcciones de billetera en hilos públicos. Algunos usuarios han optado por conexiones directas de billetera para saldos más altos. El episodio refuerza una conclusión más amplia para la incorporación cripto: la identidad de terceros y las vías de billetera ahora están en el camino crítico, por lo que pueden convertirse en el punto más frágil del ecosistema.
