De acuerdo con una publicación en X del 29 de abril realizada por Polymarket, la cuenta de seguridad Dark Web Informer acusó a la plataforma de predicción descentralizada Polymarket de haber sido comprometida, y señaló que más de 300.000 registros y un kit de explotación de vulnerabilidades fueron filtrados en foros de ciberdelincuencia; Polymarket rechazó de inmediato las acusaciones en X, y afirmó que todos los datos on-chain son públicos y auditables.
Respuesta oficial de Polymarket
Según un comunicado publicado por Polymarket en la plataforma X el 29 de abril de 2026, la plataforma afirma que todos sus datos on-chain son públicos y auditables; cualquiera puede obtenerlos gratuitamente mediante la API pública, sin necesidad de pagar. En el comunicado, Polymarket lo califica como «una característica, no un fallo (a feature, not a bug)».
Polymarket también señaló que la plataforma cuenta con un programa de recompensas por vulnerabilidades de 5 millones de dólares, lo cual contradice la afirmación del atacante de que «Polymarket no tiene un programa de recompensas por vulnerabilidades»; y explicó claramente que el comportamiento de atacar los endpoints públicos de la API no cumple con los requisitos para reclamar recompensas.
Contenido de las acusaciones de Dark Web Informer y detalles técnicos
Según la publicación en X del 29 de abril de 2026 de Dark Web Informer, el atacante «xorcat» afirma que, mediante endpoints no públicos, saltos de paginación y errores de configuración de CORS en las API Gamma y CLOB de Polymarket, completó la extracción de datos el 27 de abril de 2026. Los datos sobre la escala de las acusaciones reveladas por Dark Web Informer son los siguientes:
· En total, más de 300.000 registros; tras la extracción, aproximadamente 750 MB; comprimidos, aproximadamente 8,3 MB
· Aproximadamente 10.000 registros de usuarios únicos con información de identificación personal (PII) completa, que cubren nombre, apodo, monedero proxy y direcciones básicas
· 48.536 registros de mercado de Gamma que contienen metadatos completos
· Más de 250.000 registros activos de mercados CLOB que contienen direcciones FPMM
La publicación de Dark Web Informer también enumera vulnerabilidades técnicas que el atacante afirma que existen, incluyendo CVE-2025-62718 (evasión de Axios NO_PROXY, puntuación CVSS 9,9), un error de configuración de CORS en la API CLOB (origen comodín + credentials=true) y múltiples endpoints de API sin autenticación.
Antecedentes del programa de recompensas por vulnerabilidades de Polymarket
De acuerdo con la página del programa oficial de recompensas por vulnerabilidades de Polymarket, la plataforma cuenta con un programa de recompensas por vulnerabilidades de 5 millones de dólares, que acepta reportes de vulnerabilidades a través de la plataforma Spearbit/Cantina, e incluye vulnerabilidades en contratos inteligentes y aplicaciones web. La gravedad se divide en cuatro niveles: crítico, alto, medio y bajo. Según los términos del programa, el comportamiento de atacar endpoints públicos de la API no está dentro del alcance de elegibilidad para recompensas.
Preguntas frecuentes
¿Cuándo se publicó el comunicado en el que Polymarket niega una filtración de datos? ¿Cuál es el argumento central?
Según el comunicado de Polymarket en la plataforma X el 29 de abril de 2026, la plataforma niega la filtración de datos y afirma que todos los datos on-chain ya eran públicos y auditables; que se pueden obtener de forma gratuita mediante una API pública; y que el ataque a endpoints públicos de la API no cumple con los requisitos del programa de recompensas por vulnerabilidades.
¿Cuál es la escala de los datos filtrados que afirma Dark Web Informer y cuál es la fecha de extracción de datos?
Según la publicación de Dark Web Informer en la plataforma X el 29 de abril de 2026, el atacante afirma que el 27 de abril de 2026 extrajo más de 300.000 registros, incluidos aproximadamente 10.000 registros de usuarios con información de identificación personal (PII) completa y más de 250.000 registros de mercados CLOB.
¿Cuál es el tamaño del programa de recompensas por vulnerabilidades de Polymarket y qué plataforma lo gestiona?
Según la página del programa oficial de recompensas por vulnerabilidades de Polymarket, el tamaño del programa es de 5 millones de dólares y acepta reportes de vulnerabilidades a través de la plataforma Spearbit/Cantina; el comportamiento de atacar endpoints públicos de la API no está dentro del alcance de elegibilidad para recompensas.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Las ventas Fantasma de Polymarket caen del 30% máximo al 0,17% tras el lanzamiento de monederos de depósito
Según Josh Stevens, vicepresidente de Ingeniería de Polymarket, las operaciones fantasma (ghost fills) han disminuido desde un pico del 30% hasta el 0,17% tras el lanzamiento de la función Deposit Wallets, y se espera que la métrica siga una tendencia hacia el cero durante todo el
GateNewshace3h
Cuentas rentables de 1,6M compradas $170K por valor de apuestas de victoria de los Spurs a 77 centavos en Polymarket
Según Odaily Seer, una cuenta altamente rentable (dirección: 0x93abbc022ce98d6f45d4444b594791cc4b7a9723) con más de 1,6 millón de dólares en ganancias acumuladas compró posiciones por valor de 170.000 dólares con la predicción de que los Spurs derrotarán a los Timberwolves en el Juego 1 de las semifinales de la Conferencia Oeste de la NBA el
GateNewshace6h
Miembro oficial de Polymarket insinúa que el lanzamiento del token POLY llegará muy pronto
Según ChainCatcher, un miembro oficial del equipo de Polymarket, Mustafa, insinuó que los avances del token POLY podrían llegar muy pronto. En una interacción con la comunidad, cuando un usuario preguntó cuándo estaría disponible el staking de POLY para reducir las comisiones de taker o las comisiones futuras de maker, Mustafa respondió: "muy pronto".
GateNewshace6h
Roundhill presenta nueva fecha de efectividad para el primer ETF de mercado de predicciones del mundo, programado para el 11 de mayo
Según el analista de ETF de Bloomberg Eric Balchunas, Roundhill presentó una nueva fecha de efectividad para el primer ETF de mercado de predicciones del mundo el 5 de mayo, con el ETF listo para lanzar el 11 de mayo (lunes), un retraso de varios días respecto al calendario original. La presentación indica que el ETF se volverá efectivo
GateNewshace6h
Las compras de cuentas en Polymarket por 103.000 dólares impulsan una diferencia de -10,5 en el Juego 1 de los playoffs de la NBA contra los Timberwolves
Según la supervisión de Odaily Seer, una cuenta de Polymarket que ha perdido más de 2,8 millones de dólares compró 103.000 dólares en posiciones con spread Spurs -10,5 frente a los Timberwolves hace 40 minutos a un precio de entrada promedio de 51 centavos. El partido 1 de la semifinal de la Conferencia Oeste de la NBA entre los Spurs y los Timberwolves
GateNewshace7h
