- ZachXBT dijo que el contrato UMA CTF de Polymarket sobre Polygon fue explotado por más de 520.000 dólares.
- El atacante comprometió una antigua clave privada perteneciente a una cartera interna de operaciones de Polymarket.
- Este incidente plantea nuevas preocupaciones sobre la seguridad de los mercados de predicción y podría afectar la confianza de los usuarios en Polymarket.
El 22 de mayo de 2026, el destacado investigador on-chain ZachXBT advirtió que el contrato del Adaptador Universal Market Access (UMA) Conditional Token Framework (CTF) de Polymarket sobre Polygon probablemente fue explotado en una grave brecha de seguridad, con atacantes drenando más de 520.000 dólares de las direcciones vinculadas hasta ahora, principalmente tokens POL y USDC.e.
ZachXBT detecta un posible exploit de contrato UMA de Polymarket por más de 520.000 $
ZachXBT señaló actividad sospechosa relacionada con el contrato UMA CTF Adapter de Polymarket desplegado en Polygon. Los informes de la comunidad y los datos on-chain indicaron que más de 520.000 dólares, principalmente en tokens POL y USDC.e, se han drenado del adaptador, y algunos rastreadores reportaron posteriormente totales superiores a 600.000 dólares.
La actividad de drenaje implicó transferencias repetidas, incluyendo aproximadamente 5.000 POL cada 30 segundos desde direcciones de contrato afectadas, especialmente 0x871D7… 082 y 0xf61e3… 805. Los fondos robados se canalizaban rápidamente a través de una cadena de monederos intermediarios, probablemente para ocultar la pista de transacciones y complicar los esfuerzos de seguimiento.
Qué causó el exploit del adaptador UMA de Polymarket
El incidente no fue resultado de una vulnerabilidad o error en el código de contrato inteligente del adaptador CTF de UMA en vivo. En cambio, surgió del compromiso de una antigua clave privada perteneciente a un monedero interno de operaciones de Polymarket .
Esta cartera tenía privilegios administrativos vinculados al inicializador del adaptador UMA CTF en Polygon. Anteriormente se utilizaba para operaciones internas como la distribución de recompensas, recargas de liquidez o tareas de mantenimiento relacionadas. El atacante, dirección 0x8F980… B91, que controlaba la clave comprometida, iniciaba sesión y ejecutaba transacciones legítimas que drenaban fondos directamente de las direcciones del contrato adaptador, con partes ya depositadas en servicios como ChangeNOW, una plataforma de intercambio de criptomonedas no custodia.
El equipo de ingeniería de Polymarket confirmó el incidente poco después de la alerta de ZachXBT. El equipo también afirmó que los balances y posiciones de los usuarios en la plataforma central de Polymarket permanecen intactos, ya que el papel del adaptador se limita a funciones relacionadas con el oráculo.
¿Cuál es el impacto en la seguridad de los polimercados y de los mercados de predicción?
El incidente ha reavivado las preocupaciones sobre la seguridad de la infraestructura en mercados de predicción descentralizados, especialmente en protocolos que dependen de adaptadores Oracle e integraciones complejas entre contratos. Los expertos en seguridad esperan que la brecha acelere las demandas de auditorías de contratos inteligentes más estrictas, programas ampliados de recompensas por errores, controles más estrictos de la cartera y monitorización continua en cadena para Polymarket y plataformas similares.
A pesar del exploit, las operaciones de resolución de mercado y liquidación han continuado sin interrupciones porque el compromiso estaba vinculado a una clave privada administrativa heredada en el despliegue de Polygon en lugar de una vulnerabilidad en la lógica de contratos en vivo o en la infraestructura de trading central.
Sin embargo, el exploit pone de manifiesto un riesgo más amplio al que se enfrenta el sector del mercado de predicción, ya que incluso componentes de infraestructura no custodiales, como los adaptadores oracle, pueden convertirse en superficies de ataque críticas si las claves privilegiadas se gestionan mal, se rotan insuficientemente o se dejan activas tras el uso operativo.
Como resultado, el incidente refuerza la necesidad de estándares de seguridad operativo más estrictos, incluyendo autorización multi-firma, módulos de seguridad hardware, protecciones con bloqueo temporal, rotación regular de credenciales y auditorías de seguridad continuas en los sistemas oráculos DeFi.
Relacionado: Polymarket rechaza las reclamaciones de una brecha de datos de 300.000
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
