Polymarket Sufre un Exploit de $700K: Lo Que Sabemos y Por Qué los Expertos Dicen Que Pudo Haber Sido Peor

Polymarket sufrió un ataque este viernes después de que un exploit en un contrato drenara más de $600,000 en criptomonedas. A pesar de la magnitud del robo, múltiples analistas de seguridad enfatizaron que los fondos de los usuarios y los resultados del mercado no se vieron afectados. 

Un experto incluso argumentó que el incidente podría haber sido significativamente peor si se hubieran utilizado controles adicionales en el contrato comprometido.

El Ataque a Polymarket

Según los hallazgos del investigador on-chain ZacXBT sobre el asunto, señaló un presunto exploit que involucraba el contrato UMA CTF Adapter de Polymarket en Polygon (POL). En el momento del informe, la cifra total asociada al exploit había ascendido a casi $700,000. 

El desglose de cómo funcionó el exploit fue detallado posteriormente por el experto en seguridad Ox Abdul. En su explicación, el primer punto clave fue que la cantidad de USDC —más de $600,000— parecía ser un drenaje único tomado de una billetera específica en Polygon, identificada como 0x8F98, el Administrador del UMA CTF Adapter.

Ox Abdul también describió cómo la automatización de Polymarket parece haber contribuido a la mecánica del exploit. Dijo que el sistema de recarga de Polymarket enviaba repetidamente 5,000 POL aproximadamente cada 30 segundos para mantener financiada una billetera de gas del oráculo. 

En lugar de robar una sola vez, el atacante esperó cada recarga y luego la barrió durante aproximadamente 120 ciclos en el transcurso de unos 70 minutos, lo que estimó en alrededor de 600,000 POL. 

Cabe destacar que las pérdidas continuas de POL, en este relato, se atribuyeron a la rapidez con que ocurrió la detección y respuesta de Polymarket. El exploit fue finalmente detenido después de que se rotaron las claves.

Cómo el Exploit Podría Haber Sido Peor

Tras drenar las recargas, Ox Abdul dijo que el explotador salió a través de 16 subdirecciones usando ChangeNOW. Incluso con el daño limitado, advirtió que la situación tenía potenciales señales de alerta más allá del robo en sí. 

En su opinión, la billetera de administrador comprometida no solo contenía USDC y POL; también tenía "derechos de resolveManually" en el UMA Adapter. Esos permisos de resolución manual, explicó, podían eludir el oráculo y permitir a un atacante forzar cualquier resultado de mercado en Polymarket.

Ox Abdul describió cómo podría haberse visto "peor" en términos prácticos. Dijo que el atacante podría haber tomado posiciones grandes en mercados específicos, luego marcado esos mercados para resolución manual, esperado la ventana de seguridad de aproximadamente una hora, y finalmente usado resolveManually para resolver los mercados a favor de sus posiciones. 

Tras el incidente, Josh Stevens, un desarrollador principal de Polymarket, proporcionó posteriormente contexto adicional a través de las redes sociales. Stevens atribuyó el problema a una clave privada de 6 años de antigüedad comprometida, explicando que estaba incluida en una configuración interna de recarga, por lo que se enviaban fondos a la clave mientras permanecía activa. 

Añadió que la clave ha sido rotada, todos los permisos de producción han sido revocados, y la empresa está trasladando todas las claves privadas a claves gestionadas por KMS en adelante.

Mientras el incidente técnico se desarrollaba, Polymarket también se enfrentaba a un escrutinio regulatorio el viernes. Como informó Bitcoinist, el representante James Comer, presidente del Comité de Supervisión y Reforma Gubernamental de la Cámara, anunció una investigación formal sobre las plataformas de mercados de predicción Polymarket y Kalshi. 

Comer dijo que el comité está buscando información de los CEOs de ambas empresas sobre sus esfuerzos para prevenir el uso de información privilegiada en sus plataformas. 

En su carta, solicitó documentos y detalles sobre cómo ambas plataformas implementan la verificación de identidad para titulares de cuentas nacionales e internacionales, aplican restricciones geográficas y detectan actividad de trading anómala para ayudar a prevenir el uso de información privilegiada en sus plataformas globales. 

En un desarrollo aparte, Bloomberg informó que Polymarket ha designado un representante en Japón mientras se prepara para presionar por la autorización de los mercados de predicción en el país. Según fuentes citadas en el informe, el objetivo de Polymarket es obtener la aprobación gubernamental en Japón para 2030.

Imagen destacada creada con OpenArt, gráfico de TradingView.com