Por Canuto Polymarket salió al paso de versiones sobre una supuesta filtración masiva de datos y aseguró que el material que un hacker intenta vender ya era accesible públicamente mediante APIs y registros onchain, en medio de un contexto de creciente preocupación por la seguridad en la industria cripto.
***
- Polymarket negó que haya sufrido una brecha de datos y calificó las acusaciones como “un completo y absoluto sinsentido”.
- El supuesto hacker afirmó haber robado más de 300.000 registros, incluidos 10.000 perfiles únicos de usuarios.
- Expertos en seguridad expresaron dudas y señalaron que podría tratarse de datos recolectados de fuentes públicas, no de una base de datos comprometida.
La plataforma de mercados de predicción Polymarket rechazó reportes sobre una presunta filtración de datos de clientes, luego de que un actor de la dark web asegurara haber comprometido sus sistemas y obtenido cientos de miles de registros.
La empresa sostuvo que la información ofrecida por el supuesto hacker no proviene de una brecha, sino de datos que ya se encuentran disponibles públicamente a través de sus interfaces y de la actividad registrada onchain.
El caso surge en un momento especialmente sensible para el ecosistema cripto. Durante abril, el sector ha permanecido bajo fuerte vigilancia por una oleada de hackeos, exploits y estafas que elevaron la preocupación de usuarios, empresas y analistas. En ese contexto, cualquier acusación relacionada con una fuga de datos en una plataforma conocida tiende a generar reacciones inmediatas.
De acuerdo con la información publicada por Cointelegraph, capturas de pantalla difundidas por la firma de ciberseguridad Vecert Analyzer y por otras cuentas dedicadas a monitorear actividad en la dark web mostraban una publicación en DarkForums. En ella, un usuario identificado como “xorcat” afirmaba haber vulnerado Polymarket y extraído una gran cantidad de información de usuarios.
Según esa publicación, el supuesto atacante decía haber robado más de 300.000 registros. También aseguraba contar con 10.000 perfiles únicos de usuarios, incluyendo nombres completos, imágenes de perfil, billeteras proxy y direcciones base. Esa descripción fue suficiente para encender alarmas en una industria que ha visto cómo incidentes menores escalan con rapidez en términos reputacionales.
Polymarket dice que no hubo filtración
La respuesta de la compañía fue directa. Polymarket calificó las afirmaciones de una brecha como “un completo y absoluto sinsentido” y sostuvo que el material promocionado por xorcat ya estaba accesible en línea. En otras palabras, la plataforma afirmó que no existe evidencia de una intrusión que haya comprometido sistemas internos o bases de datos privadas.
En un pronunciamiento público, Polymarket ironizó sobre la situación y planteó que el supuesto hacker simplemente accedió a endpoints de API abiertos y a datos onchain. La empresa resumió así su postura: “Comprometiste nuestra plataforma accediendo a endpoints de API públicamente accesibles y datos onchain y mira las notas ¿estás tratando de vender los datos que ofrecemos gratis a los desarrolladores? ¿Qué VC te pagó para publicar esto?”.
La plataforma profundizó el argumento en otra publicación en donde defendió que uno de los atributos de operar onchain es precisamente que los datos pueden auditarse públicamente. Desde su perspectiva, esto no constituye una falla de seguridad, sino una característica central del modelo. Por eso insistió en que el acceso al material citado puede lograrse de manera gratuita mediante sus APIs públicas.
En aplicaciones cripto y Web3, buena parte de la actividad puede consultarse en cadenas públicas o mediante servicios de programación que exponen información para desarrolladores. Eso no significa necesariamente que datos sensibles o privados hayan sido comprometidos, aunque la línea puede volverse confusa cuando terceros empaquetan esa información y la presentan como una filtración.
Qué dijo el supuesto hacker y por qué surgieron dudas
Xorcat aseguró que estaba publicando los datos porque Polymarket no contaba con un programa de recompensas por errores. Sin embargo, esa parte del relato también fue cuestionada. La plataforma sí mantiene un programa activo de bug bounty, iniciado el 16 de abril, y hasta el miércoles había recibido 446 reportes, un dato que contradice directamente la narrativa del supuesto atacante.
El usuario también afirmó que obtuvo la información mediante endpoints de API no documentados, evasión de paginación y una mala configuración de CORS en las APIs Gamma y CLOB de Polymarket. Esas referencias técnicas intentan dar credibilidad a la versión de un acceso indebido. Aun así, las acusaciones no fueron acompañadas, al menos en la información difundida públicamente, de pruebas concluyentes sobre una intrusión a sistemas cerrados.
Además, xorcat dijo haber vulnerado otros mercados de predicción y aseguró que divulgaría esos datos en los próximos días. Esa amenaza amplió el interés en el caso y alimentó el temor a una posible campaña más extensa contra plataformas del sector. Sin embargo, por ahora no hay confirmación independiente de que tales compromisos hayan ocurrido.
Varios especialistas en seguridad expresaron escepticismo frente a la supuesta filtración. Vladimir S, investigador de amenazas y director de seguridad de Legalblock, señaló que la situación parece más cercana a un raspado de datos que a una brecha de base de datos. Según su valoración, “alguien analizó datos y está tratando de presentarlos como una filtración de [DB]. No me parece probable”.
Un episodio en medio del aumento de incidentes en cripto
La controversia alrededor de Polymarket se produce en un contexto de mayor sensibilidad por la seguridad digital en cripto. Los ataques a protocolos, plataformas y usuarios han vuelto a ocupar el centro del debate durante 2026, con pérdidas millonarias y un impacto directo sobre la confianza del mercado.
La firma de seguridad blockchain Hacken reportó a comienzos de este mes que los proyectos Web3 perdieron USD $482.000.000 por hackeos y estafas durante el primer trimestre de 2026, a lo largo de 44 incidentes. Esa cifra ayuda a explicar por qué una denuncia en la dark web, incluso cuando es discutida o desmentida, puede repercutir con tanta fuerza en redes sociales y medios especializados.
En este tipo de episodios, una distinción clave es la diferencia entre datos públicos, datos agregados y datos privados expuestos sin autorización. Que una plataforma use infraestructura abierta no elimina los riesgos reputacionales cuando alguien recompila información de forma agresiva y la comercializa. Pero tampoco permite concluir automáticamente que ocurrió un hackeo en el sentido tradicional del término.
Por ahora, la posición de Polymarket es clara: no existió una filtración y el supuesto atacante solo estaría revendiendo información ya accesible para cualquiera con conocimiento técnico básico. Mientras tanto, la industria seguirá observando si aparecen nuevas pruebas, si xorcat cumple con su amenaza de publicar más material y si otras plataformas de mercados de predicción se ven obligadas a responder acusaciones similares.
El episodio también deja una advertencia más amplia para el ecosistema. En entornos onchain, la transparencia puede convivir con interpretaciones engañosas sobre el origen y la sensibilidad de los datos. Para usuarios e inversionistas, entender esa diferencia será cada vez más importante en una etapa donde la seguridad, la privacidad y la confianza operativa se han convertido en variables críticas para cualquier plataforma cripto.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Análisis de mercado
Chiliz cae 6,72% en 24 horas ante volumen elevado
Adopción
Mastercard acelera pagos con IA y cripto para no perder terreno frente a las stablecoins
California
Elon Musk alerta en juicio contra OpenAI que la IA podría matar a toda la humanidad
Análisis de mercado