La cuenta de Polymarket drena Spotlight: riesgo de inicio de sesión de terceros

Fuente: CryptoTale Título original: La cuenta de Polymarket drena riesgos de inicio de sesión de terceros en Spotlight Enlace original: https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• Hackeo de cuentas de usuario de Polymarket rastreado hasta autenticación de terceros, no fallos en el protocolo.
• La incorporación de billeteras por correo electrónico permitió drenajes de cuentas sin exploits en contratos inteligentes.
• El incidente destaca el riesgo sistémico en Web3 a medida que los servicios de inicio de sesión de terceros se convierten en puntos de fallo.

Polymarket afirmó que los atacantes drenaron un número limitado de cuentas de usuario tras explotar una falla en un servicio de inicio de sesión de terceros. Los usuarios describieron pérdidas de saldo repentinas y cierres de posiciones después de múltiples alertas de inicio de sesión. Polymarket confirmó el incidente el 24 de diciembre de 2025 y dijo que solucionó el problema.

Los informes surgieron el 22 y 23 de diciembre de 2025 en plataformas de redes sociales. Un usuario reportó tres intentos de inicio de sesión, seguidos de un saldo de $0.01. Otro usuario reportó alertas similares y dijo que la autenticación de dos factores por correo electrónico no detuvo el drenaje.

La autenticación de terceros convierte la incorporación en un punto débil compartido

Polymarket dijo que un proveedor de autenticación de terceros introdujo la vulnerabilidad. La compañía publicó en su canal oficial de Discord que identificó el problema y lo resolvió. Polymarket describió el incidente como afectando a un pequeño número de usuarios.

Polymarket no nombró al proveedor de terceros ni divulgó los totales robados. Sin embargo, la plataforma afirmó que su protocolo principal permaneció seguro y que el problema se limitó a la autenticación. También dijo que la solución eliminó el riesgo continuo y que contactaría a los usuarios afectados.

Este enfoque desvía la atención de la mecánica del mercado y hacia la pila de incorporación en crypto. Muchas plataformas dependen de servicios externos de identidad, billetera y inicio de sesión para registros más rápidos. En consecuencia, una debilidad en un proveedor puede exponer a los usuarios en varias aplicaciones.

Los inicios de sesión con billetera por correo electrónico aumentan los riesgos en el acceso integrado a la billetera

Las publicaciones de los usuarios sugirieron que muchas cuentas afectadas usaron acceso mediante “enlace mágico” por correo electrónico en lugar de conexiones directas a la billetera. Varios informes señalaron a Magic Labs como una ruta común de registro, aunque Polymarket no ha confirmado ese enlace. Los usuarios también dijeron que no hicieron clic en enlaces sospechosos antes de los drenajes.

Los proveedores de billeteras por correo electrónico suelen crear billeteras Ethereum no custodiales durante el registro. Esa configuración atrae a usuarios primerizos en crypto que no gestionan extensiones o frases semilla. Sin embargo, el proveedor aún controla partes clave del proceso de inicio de sesión y recuperación.

Los usuarios de Polymarket describieron drenajes de saldos en USDC sin señales claras de aprobación. Los informes también describieron cierres rápidos de posiciones tras el acceso no autorizado. Como resultado, el incidente resalta cómo la seguridad de la cuenta puede fallar por encima de la capa de contratos inteligentes.

Incidentes pasados de Polymarket muestran presión en la capa de acceso

Esta brecha recuerda informes anteriores de usuarios en septiembre de 2024 relacionados con inicios de sesión basados en Google. Los usuarios describieron drenajes de billeteras donde los atacantes usaron llamadas de función “proxy”. Esas llamadas movieron fondos en USDC a direcciones de phishing, según las cuentas de los usuarios.

Polymarket, en ese momento, trató los eventos como exploits potencialmente dirigidos relacionados con la autenticación de terceros. Esa historia importa porque apunta al mismo riesgo estructural. Los sistemas de autenticación y sesiones pueden convertirse en objetivos de alto impacto.

Una amenaza separada surgió en noviembre de 2025, cuando estafadores explotaron las secciones de comentarios de Polymarket. Los usuarios reportaron pérdidas superiores a $500,000 después de que los atacantes publicaron enlaces disfrazados. Esos enlaces dirigieron a las víctimas a páginas fraudulentas que capturaron los inicios de sesión por correo electrónico.

El incidente de diciembre de 2025 vuelve a centrarse en el riesgo de integración, no en fallos de liquidación. Polymarket no ha publicado un análisis técnico post-mortem ni una línea de tiempo completa del incidente. Tampoco ha indicado si reembolsará a los usuarios por las pérdidas.

Mientras tanto, los usuarios han comparado métodos de inicio de sesión y compartido direcciones de billetera en hilos públicos. Algunos usuarios han optado por conexiones directas a la billetera para saldos mayores. El episodio refuerza una conclusión más amplia para la incorporación en crypto: las identidades y las vías de billetera de terceros ahora están en el camino crítico, por lo que pueden convertirse en el punto más frágil del ecosistema.