Polymarket admite que se han robado los fondos de los usuarios y que los servicios de terceros de "inicio de sesión con un clic" se han convertido en una vulnerabilidad

Polymarket informó que robaron fondos en Nochebuena. La vulnerabilidad se originó en el servicio de billetera de terceros Magic Labs, destacando el único punto de riesgo detrás de la conveniencia de Web3.
(Informe preliminar: Polymarket, el líder en el mercado de predicción, anunció que construirá su propia L2. ¿Se acabó la carta de triunfo de Polygon? )
(Suplemento de antecedentes: ¿Cómo lograr un ingreso anualizado del 40 % a través del arbitraje de Polymarket? )

Polymarket, el líder en el mercado de predicción de criptomonedas, informó que se robaron fondos y muchos usuarios estaban furiosos en X y Reddit temprano en la mañana del 24 de diciembre que "se vació el saldo de la cuenta".

La plataforma admitió inmediatamente la falla de seguridad en el Discord oficial y la apuntó a un "proveedor de servicios externo". Posteriormente, la herramienta de seguimiento en cadena Lookonchain apuntó al proveedor de servicios de billetera Magic Labs, lo que convirtió este incidente en la violación de seguridad de más alto perfil en el mercado de las criptomonedas a finales de 2025.

Oficialmente dijo que se había solucionado, pero algunas personas todavía están preocupadas

Menos de una hora después de que el usuario dio la noticia, Polymarket emitió un anuncio:

Encontramos una vulnerabilidad relacionada con un proveedor de servicios externo, que se ha solucionado. Solo un número muy pequeño de usuarios se ve afectado y nos comunicaremos con ellos de manera proactiva.

El anuncio no reveló el monto de las pérdidas ni el número de víctimas, pero causó mayor pánico. Según el volumen de transacciones mensuales de la plataforma Polymarket en 2025, se estima que será de miles de millones de dólares cada mes. Incluso un “número muy pequeño” puede provocar grandes pérdidas.

A diferencia de los ataques de phishing comunes, no circulaban enlaces sospechosos en el momento del incidente y muchas víctimas incluso habilitaron la 2FA en el correo electrónico. La clave para eludir la línea de defensa no está en el lado del usuario, sino en la autenticación de terceros en segundo plano.

El mecanismo de inicio de sesión de Magic Labs se ha convertido en una laguna jurídica

Para reducir el umbral, Polymarket introdujo la “generación de billetera sin custodia de correo electrónico con un solo clic” de Magic Labs. Los usuarios no necesitan conservar las palabras mnemotécnicas y pueden operar los activos de Ethereum enviando códigos de verificación. Sin embargo, el atacante explota directamente la vulnerabilidad del sistema en la capa de autenticación de Magic Labs para obtener el control de la billetera, y 2FA equivale a no válido.

El flujo actual en la cadena muestra que la dirección del hacker dividió los activos en un corto período de tiempo y mezcló las monedas en múltiples capas, lo que hace que sea más difícil de rastrear. Aunque el funcionario dijo que "ha sido reparado", aún no ha respondido a la solicitud de la comunidad de un informe completo posterior al incidente.

Al mismo tiempo, la empresa de seguridad SlowMist advirtió a GitHub sobre la aparición de robots copiadores maliciosos Polymarket, dirigidos específicamente a jugadores avanzados que crean sus propios scripts comerciales. Este programa lee el archivo de configuración local y envía en secreto la clave privada. Aunque no está directamente relacionado con la vulnerabilidad de Magic Labs, estalló el mismo día.