24 de diciembre de 2025 – Polymarket, una plataforma descentralizada de mercado de predicción, confirmó que una vulnerabilidad de seguridad en un proveedor de autenticación de terceros llevó a accesos no autorizados y transferencias de fondos desde las cuentas de los usuarios. La brecha afectó principalmente a los usuarios que se registraron vÃa Magic Labs, un servicio que ofrece creación de billetera basada en correo electrónico con un clic para cuentas de Ethereum.
Varios usuarios reportaron drenajes repentinos de saldo a pesar de haber habilitado la autenticación de dos factores en sus cuentas de correo electrónico. Un análisis de las transacciones en cadena reveló que los atacantes aprovecharon la falla de autenticación para eludir los controles de inicio de sesión, ejecutando llamadas a contratos inteligentes que movieron Ether y tokens ERC-20 a direcciones controladas por los atacantes.
El equipo de ingenierÃa de Polymarket identificó la causa raÃz en la capa de integración de Magic Labs y desplegó un parche el 23 de diciembre. En un anuncio oficial en Discord, la empresa declaró que la vulnerabilidad estaba contenida y no se han detectado más incidentes. Polymarket no divulgó el número total de cuentas afectadas ni el volumen de activos comprometidos, pero enfatizó que el protocolo central de trading y los contratos inteligentes siguen siendo seguros.
La plataforma planea migrar a su propia red Ethereum de Capa 2, POLY, y retirar el servicio de inicio de sesión de terceros para eliminar dependencias similares. Los usuarios afectados recibirán una comunicación directa detallando las opciones de recuperación, aunque Polymarket se abstuvo de comprometerse a una compensación por las pérdidas.
Expertos de la industria destacan el incidente como una advertencia sobre los riesgos de externalizar mecanismos de autenticación crÃticos. A medida que los proyectos Web3 dependen cada vez más de SDK externos para la incorporación de usuarios, las auditorÃas de seguridad rigurosas y los controles de respaldo son esenciales para prevenir vulnerabilidades sistémicas.
– CryptoReporter.
Comentarios (0)