Brecha de datos Polymarket: La plataforma desmiente supuesto hackeo masivo

El panorama de la ciberseguridad en las finanzas descentralizadas (DeFi) ha alcanzado un punto de ebullición este 29 de abril de 2026. La plataforma líder de mercados de predicción, Polymarket, se encuentra en el epicentro de una controversia técnica que redefine la línea entre la transparencia del blockchain y la vulnerabilidad de la infraestructura web. Tras las declaraciones de un actor de amenazas conocido como “Xorcat”, quien asegura haber perpetrado una brecha de datos Polymarket de proporciones masivas, la compañía ha salido al paso para desmentir las acusaciones, calificándolas de un simple esfuerzo de “scraping” o recolección de datos públicos.

La disputa no es solo un conflicto de relaciones públicas; es un caso de estudio sobre cómo las arquitecturas modernas de Web3, que combinan APIs de alto rendimiento con protocolos de cadena de bloques, pueden ser explotadas —o simplemente auditadas masivamente— mediante herramientas automatizadas de nueva generación. Mientras Xorcat presume de haber exfiltrado más de 300,000 registros, Polymarket sostiene que el atacante simplemente empaquetó información que la plataforma ofrece gratuitamente a desarrolladores y auditores.

Anatomía de la supuesta brecha de datos Polymarket

El incidente comenzó a ganar tracción a principios de esta semana cuando Xorcat publicó en foros de cibercrimen de alto perfil y canales de Telegram un “dump” de datos de aproximadamente 2.24 GB. Según el atacante, el acceso se logró mediante la explotación de vulnerabilidades críticas en las APIs de Gamma y CLOB (Central Limit Order Book) de la plataforma. La narrativa del hacker sugiere que no se trató de una simple recolección superficial, sino de un acceso no autorizado a través de endpoints no documentados.

Entre los datos que supuestamente componen la brecha de datos Polymarket, se encuentran:

• 10,000 perfiles de usuario completos: Incluyendo nombres, biografías, imágenes de perfil y direcciones de billeteras proxy vinculadas.
• 250,000 registros de mercados activos: Detalles técnicos de los creadores de mercado de producto fijo (FPMM).
• 48,536 metadatos de mercados Gamma: Información estructural sobre las apuestas y eventos.
• Gráficos sociales: Más de 9,000 registros de seguidores y conexiones entre usuarios.
• Identificadores de autenticación de administradores: Una de las afirmaciones más graves de Xorcat, que sugeriría un acceso profundo a las capas de gestión de la plataforma.

A pesar de la magnitud de las cifras, Polymarket ha sido categórica. En un comunicado que destila confianza técnica, la empresa afirmó que “la belleza de estar en la cadena es que todos nuestros datos son auditables públicamente; esto es una característica, no un error”. Según la firma, el atacante no ha comprometido llaves privadas ni fondos de usuarios, lo que reduce significativamente el riesgo financiero inmediato, pero deja abierta la puerta a riesgos de doxing (revelación de identidad) para usuarios que operaban bajo el supuesto anonimato de sus wallets.

Vulnerabilidades técnicas: El papel de Next.js y Axios

Lo que eleva este caso por encima de un simple incidente de “scraping” es el conjunto de herramientas y vulnerabilidades que Xorcat afirma haber utilizado. El hacker no solo publicó los datos, sino también un kit de explotación (exploit kit) que incluye pruebas de concepto para fallos de seguridad documentados recientemente en 2025 y 2026. Esto sugiere que, si bien los datos podrían ser públicos, el método de obtención pudo haber violado las políticas de control de acceso de la infraestructura de servidores de Polymarket.

El bypass de autenticación en Next.js

Uno de los puntos más críticos mencionados es la explotación de una falla en el middleware de Next.js (referenciada en algunos reportes como una variante de CVE-2025-29927). Este fallo permite a un atacante saltarse los controles de seguridad de nivel intermedio mediante el uso de encabezados HTTP manipulados, específicamente el encabezado x-middleware-subrequest. Al inyectar este encabezado, un actor malicioso puede engañar al servidor para que crea que la solicitud es interna y ya ha sido validada, permitiendo el acceso a rutas administrativas o endpoints de API que deberían estar protegidos por sesiones de usuario.

Explotación de la paginación y CORS

Xorcat también detalló un método de pagination bypass en el sistema CLOB de Polymarket. En términos técnicos, las APIs suelen limitar la cantidad de datos que devuelven en una sola consulta (por ejemplo, 50 registros por página) para evitar sobrecargas. El atacante afirma haber manipulado los parámetros de consulta —cambiando valores de límite a cifras astronómicas como 999,999— para forzar al sistema a entregar bases de datos enteras en una sola respuesta JSON. Este tipo de vulnerabilidad refleja una falta de validación de entradas en el lado del servidor (Server-Side Input Validation).

Adicionalmente, se mencionó una configuración incorrecta de CORS (Cross-Origin Resource Sharing). Si los encabezados CORS son demasiado permisivos, un sitio web malicioso podría realizar solicitudes a la API de Polymarket en nombre de un usuario autenticado, permitiendo la extracción de datos personales sin que el usuario se percate.

La respuesta de Polymarket: “Scraping” vs. Hackeo

La defensa de Polymarket se centra en la naturaleza intrínseca de Web3. Al operar sobre la red Polygon, gran parte de la actividad de los usuarios —desde la creación de mercados hasta la ejecución de apuestas— queda registrada en un libro mayor inmutable y público. Polymarket insiste en que no hubo una intrusión en sus servidores internos y que el “dump” de 2.24 GB es simplemente una versión formateada de lo que cualquier desarrollador puede extraer usando sus APIs oficiales.

Para reforzar su postura, la plataforma destacó que cuenta con un programa de bug bounty activo desde el 16 de abril de 2026, el cual ofrece recompensas de hasta 5 millones de dólares por hallazgos críticos. Hasta la fecha del reporte, han recibido más de 400 presentaciones, ninguna de las cuales ha validado la tesis de Xorcat sobre una brecha sistémica. Según Polymarket, el hecho de que el atacante intente “vender” datos gratuitos es una prueba de que se trata de una operación de búsqueda de reputación (clout-chasing) más que de un ciberataque exitoso.

El contexto de DeFi en 2026: Una ola de exploits

La supuesta brecha de datos Polymarket no ocurre en el vacío. Abril de 2026 ha sido un mes negro para el ecosistema cripto. Apenas unos días antes, el protocolo Kelp DAO sufrió un exploit de 293 millones de dólares debido a una vulnerabilidad en su capa de verificación de puentes cross-chain. La industria está bajo una vigilancia extrema, y los actores de amenazas están utilizando herramientas potenciadas por Inteligencia Artificial para escanear endpoints de API no documentados a una velocidad sin precedentes.

Los expertos en seguridad sugieren que el incidente de Polymarket resalta un problema persistente: la exposición de metadatos. Aunque las llaves privadas estén seguras en contratos inteligentes, la infraestructura web que sirve de interfaz (el front-end y las APIs de indexación) sigue siendo vulnerable a técnicas de la “vieja escuela” de la ciberseguridad, como las inyecciones de encabezados y el abuso de lógica de negocios.

Impacto y recomendaciones para los usuarios

A pesar de la negativa de Polymarket, el riesgo para el usuario individual no es nulo. Si la asociación entre nombres reales (provenientes de perfiles sociales vinculados) y direcciones de billeteras es correcta en el dump de Xorcat, miles de usuarios podrían enfrentarse a ataques de phishing dirigidos o intentos de extorsión basados en su historial de apuestas.

Recomendaciones clave tras el incidente:

• Desvincular perfiles sociales: Si utilizas plataformas DeFi, evita conectar cuentas que revelen tu identidad real a menos que sea estrictamente necesario.
• Rotación de billeteras proxy: Polymarket utiliza billeteras proxy para facilitar las transacciones; considera mover fondos a nuevas direcciones si sospechas que tu wallet ha sido indexada en bases de datos de cibercrimen.
• Monitoreo de Phishing: Estar alerta ante correos electrónicos o mensajes que mencionen actividades específicas realizadas en Polymarket.

Conclusión: La transparencia como arma de doble filo

El caso de la brecha de datos Polymarket deja una lección fundamental para la era de la Web3: la transparencia es una característica de seguridad para el protocolo, pero puede ser una vulnerabilidad de privacidad para el usuario. La capacidad de Xorcat para recopilar 300,000 registros, ya sea mediante scraping avanzado o mediante el aprovechamiento de debilidades en el middleware de Next.js, demuestra que las plataformas descentralizadas deben robustecer su capa de “Web2” con la misma intensidad que sus contratos inteligentes.

Mientras Polymarket mantiene su defensa de “información pública”, la comunidad de ciberseguridad seguirá analizando el kit de explotación de Xorcat. En un mundo donde la IA puede procesar gigabytes de datos on-chain para desanonimizar usuarios en segundos, la distinción entre un “hackeo” y una “auditoría agresiva” se vuelve cada vez más irrelevante para aquellos cuya privacidad ha sido expuesta.