Polymarket refuta las afirmaciones de los hackers, los datos siguen siendo públicos

Polymarket, la plataforma de mercados de predicción, ha rechazado un aumento de informes que alegan una brecha de datos después de que una publicación en la web oscura afirmara exponer detalles privados de los usuarios. Un hacker que usa el alias “xorcat” y cuentas de ciberseguridad que circulan en X afirmaron haber robado más de 300,000 registros, incluyendo 10,000 perfiles completos con nombres, imágenes de perfil, carteras proxy y direcciones base. Polymarket calificó las acusaciones como “total y absolutamente una tontería,” argumentando que la información citada ya está disponible públicamente.

La controversia surgió mientras la comunidad de seguridad cripto y los mercados en cadena monitorean una ola de hackeos y exposición de datos el mes pasado. Hackers y configuraciones incorrectas han contribuido a un amplio conjunto de incidentes, con Hacken reportando que proyectos Web3 perdieron aproximadamente 482 millones de dólares en hackeos y estafas en 44 eventos en el primer trimestre de 2026. Ese contexto ha intensificado el escrutinio sobre cuánta información está expuesta por sistemas accesibles en cadena y mediante API, y qué constituye una brecha frente a una superficie de datos públicos auditable.

La postura de Polymarket fue reforzada por una réplica directa en X, donde el equipo afirmó que las reclamaciones de brecha eran “total y absolutamente una tontería” y señaló que los datos supuestamente robados ya son accesibles en línea. En otra publicación, Polymarket enfatizó la naturaleza en cadena y públicamente auditable de sus datos: “Una parte de la belleza de estar en cadena es que todos nuestros datos son públicamente auditable, esto es una característica, no un error. No se filtró ningún dato, es accesible a través de nuestros puntos finales públicos y datos en cadena. En lugar de pagar por los datos, puedes acceder a ellos gratis mediante nuestras APIs.”

La afirmación del hacker se centró en brechas a través de puntos finales API supuestamente comprometidos y datos en cadena, con afirmaciones de que puntos finales API no documentados, saltos de paginación y configuraciones incorrectas de CORS en las APIs Gamma y CLOB de Polymarket fueron explotados. El atacante también sugirió planes para liberar más datos de otros mercados de predicción en los próximos días.

Varios investigadores de seguridad expresaron escepticismo respecto a la historia de la brecha. Vladimir S., investigador de amenazas y director de seguridad en Legalblock, advirtió que la evidencia sugería que los datos fueron analizados en lugar de filtrados en una verdadera brecha, describiendo el escenario como poco probable que refleje un compromiso real de base de datos.

Puntos clave

El incidente se centra en una reclamación de robo de datos de Polymarket, que el operador rechaza como falsa, afirmando que los datos reportados ya son accesibles públicamente y están publicados.

Polymarket mantiene que sus datos permanecen en cadena y son públicamente auditable, enfatizando que desarrolladores y usuarios pueden acceder a la información de forma gratuita mediante APIs públicas.

La plataforma contrarresta una narrativa que indica que no existía un programa de recompensas por errores, señalando un programa activo que comenzó el 16 de abril y que desde entonces ha recibido cientos de informes—planteando dudas sobre el momento y el alcance de la supuesta exposición de datos.

El contexto de la industria importa: hackers y configuraciones incorrectas contribuyeron a una amplia ola de incidentes de seguridad en cripto en el primer trimestre de 2026, subrayando la vulnerabilidad continua del sector a filtraciones de datos y fallos en el control de acceso.

Los escépticos argumentan que la reclamación podría reflejar análisis de datos o malentendidos en lugar de una verdadera brecha, destacando la tensión entre la transparencia en cadena y la exposición de datos sensibles a nivel de usuario.

Respuesta de Polymarket y el debate sobre acceso a datos

En el centro de la disputa está la afirmación de Polymarket de que no hubo una brecha de datos y que la información citada por el hacker ya es pública. En publicaciones observadas en X, la plataforma argumentó que los puntos finales API accesibles públicamente y la disponibilidad de datos en cadena significan que usuarios y desarrolladores pueden obtener los mismos datos sin una intrusión. La posición de la compañía se alinea con un debate más amplio en cripto: cuando la actividad en cadena es inherentemente pública y auditable, ¿en qué momento la exposición se convierte en una brecha en lugar de una característica de diseño de la arquitectura?

El intercambio también señaló su estrategia de API, sugiriendo que los datos reclamados como robados son accesibles para cualquiera a través de sus APIs en lugar de representar un compromiso de seguridad. Este enfoque ha generado reacciones mixtas en la comunidad de seguridad, con algunos expertos reconociendo la naturaleza pública de ciertos datos, mientras otros advierten que exponer metadatos sensibles de usuarios—especialmente combinados con direcciones de wallet e identificadores de perfil—podría plantear preocupaciones de privacidad incluso si son técnicamente públicos.

Más allá de los detalles específicos de Polymarket, el episodio toca un problema de larga data en la infraestructura cripto: cómo equilibrar apertura y auditabilidad con la protección de la privacidad del usuario. Los datos en cadena y el acceso basado en API pueden permitir verificaciones rápidas y transparencia, pero también pueden ampliar la superficie para recopilación de datos y posibles usos indebidos si no se controlan o anonimizan adecuadamente. La discusión en curso subraya por qué las plataformas deben delimitar claramente qué datos son visibles públicamente versus cuáles se consideran sensibles o restringidos.

Programa de recompensas por errores y postura de seguridad

Un contrapunto central a la narrativa de “sin programa de recompensas” es el programa de recompensas por errores declarado por Polymarket. La plataforma indica una iniciativa activa que comenzó el 16 de abril y que desde entonces ha recopilado cientos de informes—446, según la actualización más reciente. Esta cadencia sugiere un esfuerzo activo por identificar y remediar vulnerabilidades, incluso mientras el episodio actual se desarrolla en el ojo público. La existencia de un programa formal de recompensas puede ser una señal de madurez en seguridad en curso, pero también invita a un escrutinio sobre el alcance de los informes de errores y la rapidez en las correcciones en un entorno de amenazas en rápida evolución.

Los observadores de la industria estarán atentos a si nuevas vulnerabilidades o configuraciones incorrectas siguen surgiendo en las capas API de Polymarket o si el episodio actual se limita a un malentendido de datos públicamente disponibles. La interacción entre actividad de recompensas, cronogramas de divulgación y respuesta a incidentes ofrecerá una idea de qué tan rápido la plataforma puede recuperar confianza si surgen problemas genuinos.

Contexto de la industria: incidentes de seguridad y transparencia en cadena

El panorama de seguridad cripto en general añade contexto al episodio de Polymarket. Hackers y configuraciones incorrectas han impulsado la seguridad Web3 al frente, con reportes del primer trimestre de 2026 que muestran pérdidas notables en múltiples incidentes. Aunque las pérdidas totales y los conteos de incidentes varían según la fuente, la tendencia ilustra que incluso mercados establecidos y plataformas de predicción siguen siendo objetivos atractivos para atacantes que buscan una ventaja en datos o finanzas.

Los analistas señalan que la naturaleza pública de los datos en cadena puede ser una espada de doble filo: permite verificaciones rápidas y responsabilidad, pero también puede complicar las consideraciones de privacidad si la información identificable del usuario se entrelaza con datos de transacciones transparentes. En este entorno, las plataformas que defienden la apertura también deben garantizar controles de acceso robustos, una minimización cuidadosa de datos y políticas de privacidad claras para navegar las expectativas regulatorias y del mercado en evolución.

A medida que evoluciona la narrativa sobre Polymarket, los observadores querrán ver cómo responde la plataforma a la escrutinio continuo, si publica más detalles técnicos sobre sus configuraciones API y controles de seguridad, y cómo comunica futuros hallazgos de divulgaciones de recompensas por errores. Los informes de investigadores de seguridad, operadores de exchanges y académicos independientes seguirán moldeando las percepciones del mercado sobre la fiabilidad de los datos en plataformas de predicción populares.

En informes recientes, Cointelegraph basó su análisis en la evaluación de Hacken sobre el panorama de seguridad del período, subrayando que el primer trimestre de 2026 vio un volumen significativo de exploits en el espacio Web3. La confluencia de accesibilidad pública de datos y narrativas de hackeos de alto perfil hace evidente por qué inversores y constructores están prestando más atención a cómo las plataformas manejan la exposición de datos, la seguridad de API y la respuesta a incidentes en tiempo real.

Fuente: publicaciones de Polymarket en X, comentarios de investigadores de ciberseguridad y datos de la industria citados por Hacken y Cointelegraph.

Polymarket se compromete a un periodismo independiente y transparente. Este artículo cumple con la Política Editorial de Cointelegraph y busca proporcionar información precisa y oportuna. Se recomienda a los lectores verificar la información de forma independiente.

Este artículo fue publicado originalmente como Polymarket refuta reclamaciones de hackers, los datos permanecen públicos en Crypto Breaking News – tu fuente confiable para noticias cripto, noticias de Bitcoin y actualizaciones de blockchain.