Polymarket golpeado por $700K explotación: lo que sabemos y por qué los expertos dicen que podría haber sido peor

Polymarket fue atacado a principios del viernes después de que una explotación de contrato drenara más de $600,000 en criptomonedas. A pesar del tamaño del robo, varios analistas de seguridad enfatizaron que los fondos de los usuarios y los resultados del mercado no se vieron afectados

Un experto incluso argumentó que el incidente podría haber sido significativamente peor si se hubieran utilizado controles adicionales en el contrato comprometido.

El Ataque a Polymarket

Según los hallazgos del detective en cadena ZacXBT sobre el asunto, señaló una sospecha de explotación que involucraba el contrato UMA CTF Adapter de Polymarket en Polygon (POL). Al momento de reportar, la cifra total asociada con la explotación había aumentado a casi $700,000

La explicación de cómo funcionó la explotación fue detallada posteriormente por el experto en seguridad Ox Abdul. En su explicación, el primer punto clave fue que la cantidad en USDC—más de $600,000—parecía ser un drenaje único tomado de una billetera específica en Polygon, identificada como 0x8F98, el Administrador del UMA CTF Adapter.

Ox Abdul también describió cómo la automatización de Polymarket parece haber contribuido a la mecánica de la explotación. Dijo que el sistema de recarga de Polymarket enviaba repetidamente 5,000 POL aproximadamente cada 30 segundos para mantener financiada una billetera de gas de oráculo

En lugar de robar una sola vez, el atacante esperó cada recarga y luego la barrió en aproximadamente 120 ciclos durante unos 70 minutos, lo que estimó en alrededor de 600,000 POL

Es importante destacar que las continuas pérdidas de POL en esta cuenta se atribuyeron a la rapidez con la que ocurrió la detección y respuesta de Polymarket. La explotación fue finalmente detenida después de que se rotaron las claves.

Cómo Podría Haber Sido Peor la Exploitación

Después de drenar las recargas, Ox Abdul dijo que el explotador luego salió a través de 16 sub-direcciones usando ChangeNOW. Incluso con el daño limitado, advirtió que la situación tenía banderas rojas potenciales más allá del robo en sí

En su opinión, la billetera de administrador comprometida no solo contenía USDC y POL; también tenía derechos de “resolveManually”, en el adaptador UMA. Esos permisos de resolución manual, explicó, podrían saltarse el oráculo y permitir que un atacante forzara cualquier resultado de mercado en Polymarket.

Ox Abdul explicó cómo podría haberse visto “peor” en términos prácticos. Dijo que el atacante podría haber tomado posiciones grandes en mercados específicos, luego marcar esos mercados para resolución manual, esperar la ventana de seguridad de aproximadamente una hora, y finalmente usar resolveManually para resolver los mercados a favor de sus posiciones

Tras el incidente, Josh Stevens, un desarrollador líder en Polymarket, proporcionó posteriormente más contexto a través de las redes sociales. Stevens atribuyó el problema a una clave privada comprometida de 6 años, explicando que se incluyó en una configuración interna de recarga, por lo que los fondos se estaban enviando a la clave mientras permanecía activa

Agregó que la clave ha sido rotada, se han revocado todos los permisos de producción, y la compañía está trasladando todas las claves privadas a claves gestionadas por KMS en adelante.

Investigación Federal Iniciada

Mientras se desarrollaba el incidente técnico, Polymarket también enfrentaba escrutinio regulatorio el viernes. Como informó Bitcoinist, el representante James Comer, presidente del Comité de Supervisión y Reforma del Gobierno de la Cámara, anunció una investigación formal sobre las plataformas de mercado de predicciones Polymarket y Kalshi

Comer dijo que el comité busca información de los CEO de ambas compañías respecto a sus esfuerzos para prevenir el comercio con información privilegiada en sus plataformas

En su carta, solicitó documentos y detalles sobre cómo ambas plataformas implementan la verificación de identidad para titulares de cuentas nacionales e internacionales, hacen cumplir restricciones geográficas y detectan actividades comerciales anómalas para ayudar a prevenir el comercio con información privilegiada en sus plataformas globales

En un desarrollo separado, Bloomberg informó que Polymarket ha nombrado un representante en Japón mientras se prepara para abogar por la autorización de mercados de predicción en el país. Según fuentes citadas en el informe, el objetivo de Polymarket es obtener la aprobación del gobierno en Japón para 2030.

Imagen destacada creada con OpenArt, gráfico de TradingView.com