Una bretxa de seguretat a Polymarket porta al robatori de gairebé 3 milions de dòlars en criptomonedes
13/07/2026

Es tracta d’un nou atac de cadena de subministrament, atès que l’incident es va dur a terme a través d’un proveïdor de l’empresa.
La plataforma d’apostes de futurs Polymarket ha confirmat que ha experimentat una bretxa de seguretat que ha portat a un gran robatori de criptomonedes.
L’incident no es va produir directament al servei, sinó a través d’un tercer. Els ciberdelinqüents van aprofitar la bretxa en aquest proveïdor per injectar codi maliciós al seu lloc web.
«Hem descobert que un dels nostres proveïdors havia estat compromès, i havia patit una injecció maliciosa al seu codi al frontend d’alguns usuaris», ha assenyalat Polymarket en una piulada.
La firma assegura a la seva publicació a X que ha contingut l’atac i ha eliminat la dependència afectada. A més, afirma que ha contactat els usuaris afectats (van ser uns 15) i que la seva intenció és tornar-los els fons robats.
S’estima que l’actor d’amenaces s’ha endut 2,94 milions de dòlars en criptomonedes. Sembla que l’atacant va actuar de pressa i va transferir els fons de Polygon a Ethereum, i els va convertir a 1.893 ETH.
Tot i això, el servei no ha aportat més detalls tècnics sobre com se les va apanyar el ciberdelinqüent per piratejar aquest tercer.
L’atac va sortir a la llum quan l’investigador de seguretat especialitzat en cadena de blocs Specter va detectar una campanya de pesca que va buidar més d’11 bitlleteres de Polymarket que contenien PUSD.
Els robatoris de criptomonedes s’atribueixen en molts casos a grups d’actors d’amenaces persistents avançades relacionats amb Corea del Nord, que fa servir aquest tipus d’incidents per finançar-se.
Descentralitzat i descentrat
Polymarket és el mercat de predicció descentralitzat més gran del món. Funciona amb criptomonedes i permet que els usuaris comprin i venguin participacions sobre la probabilitat que es produeixin esdeveniments futurs (política, economia, esports, etc.). La seva arquitectura es basa en la xarxa de blocs Polygon i en contractes intel·ligents.
A Espanya fa un mes el Ministeri de Consum va obrir un expedient sancionador a Polymarket i va ordenar el bloqueig cautelar del web. L’organisme va penalitzar la plataforma estatunidenca en considerar que operava com una casa d’apostes sense llicència de joc i en dirimir que no complia els mecanismes de protecció a l’usuari exigits per la Llei del Joc.
A l’abril, un atacant va posar a la venda una base de dades amb més de 300.000 registres d’usuaris. La plataforma va negar llavors que es tractés d’una bretxa als seus servidors interns, i va aclarir que la informació filtrada consistia en dades accessibles públicament a través dels seus registres a la cadena de blocs i la seva API pública.









