Angela TrenardPolymarket niega filtración de datos y afirma que hacker intenta vender información pública
La plataforma de mercados de predicción Polymarket ha negado rotundamente las afirmaciones de un hacker que asegura haber violado sus sistemas y robado más de 300,000 registros de usuarios. La empresa calificó la supuesta filtración como «completa y total tontería» y señaló que la información que el atacante intenta vender ya está disponible públicamente a través de sus APIs y datos on-chain. El incidente ocurre en un contexto de aumento de hackeos en el sector cripto, que registró pérdidas por 482 millones de dólares en el primer trimestre de 2026.
La supuesta filtración
Un hacker que opera bajo el pseudónimo «xorcat» publicó el martes en el foro oscuro DarkForums afirmando haber comprometido los sistemas de Polymarket. La empresa de ciberseguridad Vecert Analyzer y diversas cuentas en la red social X que monitorean actividad en la dark web difundieron capturas de pantalla de la publicación del atacante.
Según el reclamo del hacker, la filtración incluiría más de 300,000 registros de usuarios, de los cuales aproximadamente 10,000 serían perfiles únicos con información como nombres completos, imágenes de perfil, billeteras proxy y direcciones base. El atacante afirmó haber accedido a los datos mediante endpoints API no documentados, técnicas de bypass de paginación y una mala configuración CORS en las APIs Gamma y CLOB de la plataforma.
Como motivación para la publicación, xorcat señaló que Polymarket carecía de un programa de bug bounty, una afirmación que la empresa contradice.
La respuesta de Polymarket
Desmentido categórico
La plataforma respondió de forma inmediata y contundente, calificando las afirmaciones del hacker como «completa y total tontería». Polymarket sostiene que la información que el atacante intenta vender ya está disponible para cualquier persona a través de sus APIs públicas y los datos registrados en la cadena de bloques.
Declaraciones textuales
En una declaración oficial difundida a través de sus canales, Polymarket lanzó una serie de preguntas retóricas dirigidas al hacker:
«¿Comprometiste nuestra plataforma accediendo a endpoints API públicos y datos on-chain y… estás tratando de vender los datos que ofrecemos a desarrolladores gratis? ¿Qué VC te pagó por publicar esto?»
La empresa amplió su postura con una segunda declaración:
«Parte de la belleza de estar en cadena es que todos nuestros datos son auditables públicamente. Esto es una característica, no un error. No se filtraron datos, son accesibles vía nuestros endpoints públicos y datos on-chain.»
Programa de bug bounty
Polymarket afirmó tener un programa de bug bounty activo desde el 16 de abril, en clara contradicción con la afirmación del hacker sobre la ausencia de este tipo de incentivos. Según la plataforma, hasta el miércoles se habían recibido 446 informes a través de dicho programa.
Dudas de expertos en seguridad
Varios especialistas en ciberseguridad han expresado escepticismo sobre la veracidad de la filtración. Vladimir S, investigador de amenazas y director de seguridad (CSO) de Legalblock, se mostró dubitativo ante las afirmaciones del hacker.
«Parece que alguien analizó datos y está tratando de presentarlo como una fuga de base de datos. No me parece probable», declaró el experto.
El hacker, por su parte, afirmó haber violado también otros mercados de predicción y adelantó que planeaba publicar más datos en los próximos días.
Contexto del aumento de hackeos en cripto
El incidente ocurre en un momento de particular alerta en la industria de las criptomonedas. Abril de 2026 ha registrado un aumento repentino en hackeos y exploits relacionados con el sector, según reportan diversas fuentes de seguridad.
Un informe de Hacken, empresa especializada en seguridad blockchain, reveló que las pérdidas en el ecosistema Web3 durante el primer trimestre de 2026 alcanzaron los 482 millones de dólares, distribuidas en 44 incidentes. La oleada de ataques ha puesto en estado de alerta a las plataformas del sector.
Implicaciones para la privacidad en blockchain
El caso de Polymarket reabre el debate sobre la tensión entre transparencia y privacidad en las plataformas basadas en blockchain. Los datos registrados en la cadena de bloques son inherentemente públicos y auditables por cualquier persona, lo que constituye una característica central de esta tecnología.
Polymarket defiende que la auditabilidad pública de los datos on-chain es una ventaja y no un problema de seguridad. Sin embargo, el incidente plantea interrogantes sobre si los usuarios son plenamente conscientes de que la información de sus transacciones y, en algunos casos, datos personales asociados, pueden ser accesibles públicamente a través de APIs y registros en la cadena.
Hasta el momento, Polymarket no ha presentado evidencia técnica que demuestre que los datos no fueron realmente extraídos por el hacker, aunque mantiene su postura de que toda la información en cuestión era de acceso público. La empresa de seguridad blockchain Hacken no ha emitido aún un pronunciamiento oficial sobre el caso.
