Polymarket ha desmentido las afirmaciones sobre una filtración masiva de datos por parte de un vendedor de la dark web, calificando los informes de "absurdos". El atacante, que utilizaba el alias "xorcat", afirmó haber filtrado una base de datos que afectaba a más de 300.000 registros y un kit de exploits que contenía aproximadamente 1 GB de registros (nombres, seudónimos y direcciones de monederos).
El atacante, que afirmó haber filtrado los datos de Polymarket en un popular foro de ciberdelincuencia, explicó que los datos setracmediante puntos finales de API no documentados, una elusión de paginación y una configuración CORS incorrecta en las API Gamma y CLOB de Polymarket. El paquete también incluía un script de volcado automático y pruebas de concepto funcionales para múltiples vulnerabilidades CVE.
En concreto, los datos extraídos incluían 10.000 perfiles de usuario únicos con información personal identificable completa (nombre, seudónimo, biografía, imagen de perfil, monedero proxy y dirección base), y más de 4.111 comentarios con objetos de perfil adjuntos.
El atacante también proporcionó scripts de prueba de concepto y alegó que los datos incluían 1.000 registros de informes que contenían 58 direcciones ETH únicas y un indicador admin_auth_addr, así como más de 48.000 mercados gamma con metadatos completos, identificadores de condición e identificadores de token.
Además, se encontraron más de 250.000 mercados CLOB activos con direcciones FPMM y más de 292 eventos con direcciones ETH de remitente/resolutor y nombres de usuario internos. La filtración también incluyó 100 configuraciones de recompensas con direccionestracUSDC y tasas diarias, 9.000 perfiles de seguidores (con nombres, seudónimos y monederos proxy) e identificadores de usuario internos expuestos en los campos createdBy/updatedBy.
La brecha de seguridad en Polymarket representa una amenaza para la seguridad nacional
Polymarket se encuentra en el centro de un grave escándalo de integridad que supone una vulneración de otra índole: la de la seguridad nacional. El Departamento de Justicia y la Comisión de Comercio de Futuros de Productos Básicos (CFTC) utilizan esta reciente filtración como ejemplo principal de la de los mercados de predicción , argumentando que estos pueden incentivar la filtración de información clasificada con fines lucrativos. Esto expone a los operadores, incluyendo a figuras políticas de alto perfil, a ataques de phishing o acoso dirigidos.
Estas denuncias siguen un patrón de fallos de ciberseguridad confirmados que han mermado la confianza de los usuarios en los últimos seis meses. En la manipulación de la API/bots de febrero de 2026, los atacantes explotaron una vulnerabilidad de diseño en el sistema de órdenes de Polymarket y crearon "nonces" para cancelar operaciones en la cadena de bloques, manteniendo la validez de los registros fuera de la cadena. Esto provocó que los bots sufrieran pérdidas masivas debido a informes erróneos de la API.
Polymarket también confirmó otra brecha de seguridad en la autenticación de terceros en diciembre de 2025. Esta brecha se vinculó a una vulnerabilidad en una herramienta de inicio de sesión de terceros (supuestamente Magic Labs), que permitió a los atacantes sustraer fondos incluso de cuentas con autenticación de dos factores (2FA) activada. Otro ataque de phishing en noviembre de 2025 contra la sección de comentarios de Polymarket provocó pérdidas de más de 500 000 dólares para los usuarios.
Los reguladores recurren a la prohibición activa a medida que crece el volumen del mercado de predicciones
Los reguladores están pasando de la observación pasiva a la prohibición activa a medida que los mercados de predicción aumentan de volumen. El gobierno brasileño bloqueó 27 plataformas en abril de 2026 (incluidas Kalshi y Polymarket), alegando preocupaciones sobre el endeudamiento de los hogares y la protección del consumidor.
Las autoridades de Rumania y Portugal también bloquearon recientemente determinadostracpolíticos para evitar apuestas especulativas sobre las elecciones.
Mientras tanto, Polymarket adoptó normas internas más estrictas a partir de marzo de 2026. Dichas normas prohíben explícitamente las operaciones basadas en información robada o conocimiento privilegiado de eventos geopolíticos. Polymarket también firmó un Acuerdo de Servicios Regulatorios con la Asociación Nacional de Futuros (NFA) para implementar la vigilancia en tiempo real. Esta medida marcó un giro hacia el cumplimiento normativo financiero generalizado.
Los reguladores también han examinado minuciosamente operaciones de alto perfil, como la apuesta de 32.000 dólares por la captura de Nicolás Maduro, que generó una ganancia de 436.000 dólares justo antes de que se hiciera pública la noticia en enero de 2026. Desde entonces, la Casa Blanca y varias agencias han advertido sobre los riesgos de operar con información no pública relacionada con conflictos geopolíticos, como la guerra entre Estados Unidos e Irán.
Por otro lado, Gautam Chhugani, analista de Bernstein, prevé que una mayor claridad regulatoria a nivel federal impulse el crecimiento de los mercados de predicción. Estima que el volumen total del mercado de predicción alcanzará los 240.000 millones de dólares en 2026 (un 370 % más que el año pasado).
Chhugani también prevé que el volumen de negociación del mercado de predicciones alcanzará el billón de dólares anuales a principios de la próxima década, con una tasa de crecimiento anual compuesta de aproximadamente el 80% entre 2025 y 2030. Es probable que la composición de lostracnegociados también cambie.
