La vulnerabilidad en la certificación de terceros provocó la pérdida de fondos de los usuarios de Polymarket, exponiendo los riesgos en la infraestructura de inicio de sesión Web3

Estado del incidente: caída de la capa de certificación, millones de fondos robados

El 24 de diciembre de 2025, Polymarket confirmó que su plataforma sufrió un ataque masivo a cuentas. La causa no fue un ataque a los contratos inteligentes, sino una vulnerabilidad de seguridad introducida por un proveedor de servicios de certificación de terceros. Muchos usuarios reportaron que sus saldos fueron transferidos sin autorización, y algunos incluso vieron sus posiciones en USDC vaciadas y cerradas automáticamente en un instante.

El incidente fue divulgado inicialmente el 22 de diciembre de 2025 en plataformas sociales como X, Reddit y Discord. Los usuarios denunciaron que, tras múltiples intentos de inicio de sesión, sus fondos desaparecieron misteriosamente. Un afectado afirmó que su saldo cayó de un estado normal a $0.01, y otros usuarios reportaron que, incluso con la verificación en dos pasos por correo electrónico activada, no pudieron evitar el robo.

La certificación de terceros se convierte en un punto débil en el ecosistema cripto

Polymarket no reveló el nombre del proveedor de terceros involucrado ni la cantidad total de fondos robados, pero los informes de los usuarios apuntan a soluciones comunes de inicio de sesión por correo electrónico como Magic Labs. La compañía indicó en su canal de Discord que identificó y solucionó el problema, y que el riesgo ya fue eliminado. Sin embargo, la afirmación de que se trató de un “evento aislado” y que “afectó solo a unos pocos usuarios” genera dudas.

La cuestión clave es: para facilitar la adopción rápida por parte de los usuarios, muchas plataformas DeFi dependen de servicios de autenticación de terceros, servicios de wallets y sistemas de inicio de sesión. Cuando la seguridad de un proveedor se ve comprometida, la reacción en cadena puede afectar a múltiples aplicaciones del ecosistema. Esta arquitectura traslada los riesgos potenciales desde los contratos inteligentes a la capa de autenticación — un punto débil a menudo ignorado pero igualmente mortal.

El peligro oculto del inicio de sesión por correo electrónico y wallets

El método de inicio de sesión basado en “magic link” por correo electrónico es muy popular por su facilidad de uso. La plataforma crea una wallet Ethereum no custodial para el usuario al registrarse, reduciendo la barrera de entrada para los novatos en criptomonedas. Pero esto tiene un costo: el proveedor aún controla el mecanismo central para la recuperación del acceso.

Los usuarios afectados indicaron que no hicieron clic en enlaces sospechosos, pero sus fondos fueron robados. Esto demuestra que el ataque no fue a través de phishing tradicional, sino mediante una vulnerabilidad en el backend del servicio de certificación de terceros. Una vez que el atacante rompe esa capa de seguridad, puede simular la identidad de un usuario legítimo y autorizar transferencias o liquidaciones de posiciones — sin que el usuario tenga que intervenir.

Lecciones del pasado: riesgos estructurales recurrentes

Este no es un caso aislado. En septiembre de 2024, Polymarket sufrió un incidente similar relacionado con el inicio de sesión mediante Google. En esa ocasión, los atacantes usaron una función “proxy” para transferir USDC a una dirección de phishing, y Polymarket lo calificó como un ataque dirigido relacionado con la certificación de terceros.

En noviembre de 2025, también hubo un impacto en la plataforma por fraudes en los comentarios. Los estafadores publicaron enlaces falsos que inducían a los usuarios a ingresar sus credenciales de correo electrónico, resultando en pérdidas superiores a $500,000. Estos eventos en conjunto apuntan a una conclusión común: la certificación y gestión de sesiones se ha convertido en un objetivo de alto valor para los atacantes, y las plataformas no invierten lo suficiente en su protección.

Reflexión profunda: el costo de depender de terceros

Polymarket aún no ha publicado un análisis técnico posterior ni una línea de tiempo completa del incidente, y tampoco ha anunciado un plan de compensación. Los usuarios afectados están comenzando a preferir conexiones directas a wallets (como MetaMask), aunque esto no es amigable para los novatos.

Este incidente refuerza una realidad dolorosa en el ecosistema cripto: para mejorar la experiencia del usuario, los protocolos cada vez dependen más de servicios de terceros — que deberían ser herramientas auxiliares, pero que gradualmente se convierten en puntos únicos de fallo del sistema. Cuando estas rutas críticas son comprometidas, incluso los contratos inteligentes más perfectos no pueden proteger los fondos de los usuarios.

Para toda la industria, la amenaza de vulnerabilidades en terceros ya no es menor que la de los propios protocolos. Polymarket necesita más que parches técnicos; requiere una reevaluación completa de su cadena de dependencia en el ecosistema, asegurando que los estándares de seguridad de sus proveedores externos estén alineados con sus propias necesidades.