Polymarket, fondos de usuarios autorizados robados, "Inicio de sesión con un clic" en servicios de terceros se convierte en una brecha

Polymarket víspera de Navidad revela robo de fondos, la vulnerabilidad proviene de un servicio de billetera de terceros Magic Labs, destacando el riesgo de punto único en la conveniencia de Web3.
（Resumen previo: ¿El líder del mercado de predicciones Polymarket anuncia su propia capa L2, Polygon pierde su as? ）
（Información adicional: ¿Cómo obtener un rendimiento anual del 40% mediante arbitraje en Polymarket? ）

El líder en mercados de predicciones Cripto Polymarket reporta robo de fondos, múltiples usuarios en la madrugada del 24 de diciembre expresaron en X y Reddit su furia por “saldo de cuenta vaciado”.

La plataforma rápidamente reconoció en su Discord oficial la existencia de una vulnerabilidad de seguridad, señalando a “proveedores de servicios de terceros”. La herramienta de rastreo en la cadena Lookonchain posteriormente identificó al proveedor de servicios de billeteras Magic Labs, convirtiendo este incidente en la brecha de seguridad más comentada en el mercado Cripto a finales de 2025.

La compañía afirma haberlo solucionado, pero aún hay preocupaciones

Menos de una hora después de que los usuarios reportaran, Polymarket publicó un anuncio:

Hemos detectado una vulnerabilidad relacionada con un proveedor de servicios de terceros, que ya ha sido corregida. Los usuarios afectados son muy pocos, nos pondremos en contacto con ellos de manera proactiva.

El anuncio no reveló la cantidad de pérdidas ni el número de afectados, pero generó mayor pánico. Según el volumen de transacciones mensuales de Polymarket en 2025, que se estima en decenas de miles de millones de dólares, incluso una “minoría” podría representar pérdidas elevadas.

A diferencia de ataques de phishing comunes, en el momento del incidente no circulaban enlaces sospechosos, y muchos afectados incluso tenían habilitada la autenticación de dos factores por correo electrónico. La clave para evitar la protección fue vulnerada no en el cliente, sino en la autenticación de terceros en el backend.

La integración de Magic Labs se convirtió en la brecha

Para reducir barreras, Polymarket implementó la función de “Generación de billetera no custodial con un clic por Email” de Magic Labs. Los usuarios no necesitan guardar la frase semilla, solo enviar un código de verificación para gestionar activos en Ethereum. Sin embargo, los atacantes aprovecharon una vulnerabilidad en el sistema de autenticación de Magic Labs para tomar control de las billeteras, haciendo que la 2FA fuera inefectiva.

Actualmente, las transacciones en la cadena muestran que los hackers dividieron los fondos en poco tiempo y los mezclaron en múltiples capas, dificultando la trazabilidad. Aunque la compañía afirma que “ya se ha corregido”, aún no ha respondido a la solicitud de un informe completo posterior al incidente por parte de la comunidad.

Mientras tanto, la firma de seguridad SlowMist alertó sobre bots maliciosos en GitHub que imitan a Polymarket, dirigidos a usuarios avanzados que usan scripts de trading personalizados. Estos programas leen archivos de configuración locales y filtran las claves privadas, aunque no están directamente relacionados con la vulnerabilidad de Magic Labs, pero explotaron en la misma fecha.