Exploit en Polymarket supera los $600,000: equipo confirma fondos de usuarios seguros tras compromiso de clave privada

La plataforma de predicciones descentralizadas Polymarket confirmó un exploit de seguridad que afectó parte de su infraestructura, con pérdidas que superan los $600,000. El equipo aseguró que los fondos de los usuarios y la resolución de los mercados están seguros, señalando que el incidente se limitó a una clave privada de seis años utilizada para operaciones internas de recarga. El exploit fue identificado inicialmente por el investigador blockchain ZachXBT, quien detectó el drenaje de al menos $520,000 de un contrato vinculado a UMA CTF Adapter en Polygon.

Detalles del exploit

Origen y naturaleza del ataque

El exploit afectó parte de la infraestructura de Polymarket, específicamente un contrato UMA Conditional Tokens Framework (CTF) Adapter en la red Polygon. Según el equipo de la plataforma, la causa fue el posible compromiso de una clave privada asociada a una billetera utilizada para operaciones de recarga (top-up).

Josh Stevens, vicepresidente de ingeniería de Polymarket, declaró que los contratos principales se mantienen seguros y que el exploit se limitó a una clave privada de seis años. El equipo afirmó que todos los permisos asociados a esa clave ya fueron revocados.

Montos y escalada del exploit

La primera detección del ataque provino del investigador blockchain ZachXBT, quien reportó aproximadamente $520,000 drenados del contrato comprometido. Posteriormente, la plataforma de visualización de datos blockchain Bubblemaps actualizó la cifra a $600,000, indicando que el atacante continuaba retirando 5,000 POL cada 30 segundos.

Lookonchain, otra plataforma de análisis blockchain, estimó las pérdidas en $660,000 al 9:01 am UTC del viernes. Los datos de Polyscan, el explorador de bloques de Polygon, muestran más de 100 transferencias pequeñas de hasta 5,000 POL hacia la billetera del atacante.

Respuesta y medidas de contención

Reacción oficial de Polymarket

El equipo de desarrolladores de Polymarket emitió una comunicación oficial a través de la red social X, en la que afirmó que los contratos inteligentes y la infraestructura principal no resultaron afectados. La compañía aseguró que los fondos de los usuarios están seguros y que la resolución de los mercados activos no se ha visto comprometida.

Miembros del equipo, incluyendo al product lead Akanshu Jain, confirmaron públicamente la seguridad de la plataforma y la contención del incidente.

Medidas técnicas implementadas

Como respuesta inmediata, el equipo de Polymarket revocó todos los permisos asociados a la clave comprometida. La compañía reiteró que el exploit no afectó los contratos principales ni la capacidad de resolver mercados de predicción activos.

Contexto y antecedentes

¿Qué es Polymarket?

Polymarket es el segundo mercado de predicción más grande del mundo, con un volumen de trading mensual de $3.7 mil millones, según datos de DefiLlama. La plataforma permite a los usuarios apostar sobre el resultado de eventos futuros mediante contratos descentralizados.

Integración con UMA y el contrato comprometido

El contrato afectado corresponde al UMA Conditional Tokens Framework (CTF) Adapter, una integración que data del 3 de febrero de 2022. Este contrato funciona como un oráculo que ayuda a resolver mercados de predicción mediante UMA Optimistic Oracle, proporcionando resolución automatizada y descentralizada para los contratos de Polymarket.

Cointelegraph contactó a Polymarket y UMA para obtener comentarios adicionales, pero no recibió respuesta al momento de publicación.

Otros datos relevantes

El incidente ocurre en un contexto de contracción en el financiamiento de capital de riesgo para el sector cripto, que cayó a $659 millones en abril, su nivel más bajo en dos años.

Impacto y perspectivas

Impacto en usuarios y mercados

El exploit no afectó los fondos de los usuarios ni la resolución de los mercados activos. La compañía enfatizó que el incidente se limitó a operaciones internas de recarga, sin comprometer la integridad de la plataforma para sus usuarios.

Implicaciones de seguridad

El incidente pone de relieve los riesgos asociados a claves privadas antiguas y la importancia de una gestión rigurosa de permisos en plataformas descentralizadas. El caso de Polymarket sirve como recordatorio sobre la necesidad de supervisión constante de contratos inteligentes y la implementación de medidas de seguridad que prevengan el compromiso de claves privadas heredadas.