Polymarket Refuta las Afirmaciones del Hacker, los Datos Permanecen Públicos

Polymarket, la plataforma de mercados de predicción, ha rechazado una oleada de informes que alegaban una filtración de datos tras una publicación en la dark web que afirmaba exponer detalles privados de usuarios. Un hacker que usa el alias "xorcat" y cuentas de ciberseguridad que circulan en X afirmaron haber robado más de 300.000 registros, incluyendo 10.000 perfiles completos con nombres, imágenes de perfil, carteras proxy y direcciones base. Polymarket calificó las alegaciones como "completas y absolutas tonterías", argumentando que la información citada ya está disponible públicamente.

La controversia surgió mientras la comunidad de seguridad cripto y los mercados con datos en cadena monitorean una oleada de hackeos y exposición de datos el mes pasado. Los hackers y las configuraciones incorrectas han contribuido a un amplio conjunto de incidentes, con Hacken informando que los proyectos Web3 perdieron aproximadamente $482 millones en hackeos y estafas en línea a lo largo de 44 eventos en el primer trimestre de 2026. Este contexto ha intensificado el escrutinio sobre cuántos datos quedan expuestos por los sistemas con datos en cadena y accesibles vía API, y qué constituye una brecha frente a una superficie de datos públicos auditables.

La postura de Polymarket fue reforzada por una refutación directa en X, donde el equipo afirmó que las alegaciones de brecha eran "completas y absolutas tonterías" y señaló que los datos supuestamente robados son información ya accesible en línea. En otra publicación, Polymarket enfatizó la naturaleza en cadena y públicamente auditable de sus datos: "Parte de la belleza de estar en cadena es que todos nuestros datos son públicamente auditables, esto es una característica, no un error. No se filtró ningún dato, es accesible a través de nuestros endpoints públicos y datos en cadena. En lugar de pagar por los datos, puedes acceder a ellos de forma gratuita a través de nuestras APIs."

La afirmación del hacker se centró en brechas a través de endpoints de API supuestamente comprometidos y datos en cadena, con aserciones de que se explotaron endpoints de API no documentados, omisión de paginación y configuraciones incorrectas de CORS en las APIs Gamma y CLOB de Polymarket. El atacante también sugirió planes para publicar más datos de otros mercados de predicción en los próximos días.

Varios investigadores de seguridad expresaron escepticismo sobre la historia de la brecha. Vladimir S., investigador de amenazas y director de seguridad en Legalblock, advirtió que la evidencia sugería que los datos fueron analizados en lugar de filtrados en una verdadera brecha, describiendo el escenario como poco probable que refleje un compromiso real de base de datos.

Conclusiones clave

• El incidente se centra en una afirmación de robo de datos de Polymarket, que el operador rechaza como falsa, afirmando que los datos reportados son públicamente accesibles y ya publicados.
• Polymarket sostiene que sus datos permanecen en cadena y son públicamente auditables, enfatizando que los desarrolladores y usuarios pueden acceder a la información de forma gratuita a través de APIs públicas.
• La plataforma contradice la narrativa de que no existía un programa de bug bounty, señalando un programa activo que comenzó el 16 de abril y que desde entonces ha recibido cientos de informes, lo que genera preguntas sobre el momento y el alcance de la supuesta exposición de datos.
• El contexto de la industria importa: los hackers y las configuraciones incorrectas contribuyeron a una amplia oleada de incidentes de seguridad cripto en el Q1 de 2026, subrayando la vulnerabilidad continua del sector a la filtración de datos y los fallos en el control de acceso.
• Los escépticos argumentan que la afirmación podría reflejar el análisis de datos o una mala interpretación en lugar de una verdadera brecha, destacando la tensión entre la transparencia en cadena y la exposición de datos sensibles a nivel de usuario.

La respuesta de Polymarket y el debate sobre el acceso a datos

En el centro de la disputa está la afirmación de Polymarket de que no hubo ninguna filtración de datos y que la información citada por el hacker ya es pública. En publicaciones observadas en X, la plataforma argumentó que los endpoints de API públicamente accesibles y la disponibilidad de datos en cadena significan que los usuarios y desarrolladores pueden recuperar los mismos datos sin una intrusión. La posición de la empresa se alinea con un debate más amplio en el mundo cripto: cuando la actividad en cadena es inherentemente pública y auditable, ¿en qué momento la exposición se convierte en una brecha en lugar de una característica de diseño de la arquitectura?

El exchange también señaló su estrategia de API, sugiriendo que los datos que se alegan como robados son accesibles para cualquiera a través de sus APIs en lugar de representar un compromiso de seguridad. Este enfoque ha generado reacciones mixtas en la comunidad de seguridad, con algunos expertos reconociendo la naturaleza pública de ciertos datos, mientras que otros advierten que exponer metadatos sensibles de usuarios, especialmente combinados con direcciones de carteras e identificadores de perfil, podría generar preocupaciones de privacidad incluso si técnicamente son públicos.

Más allá de las particularidades de Polymarket, el episodio aborda un problema de mayor duración en la infraestructura cripto: cómo equilibrar la apertura y la auditabilidad con la protección de la privacidad del usuario. Los datos en cadena y el acceso basado en API pueden permitir una verificación y transparencia rápidas, pero también pueden ampliar la superficie de recopilación de datos y el posible uso indebido si no se controlan o anonimizan correctamente. La discusión en curso subraya por qué las plataformas deben delimitar claramente qué datos son públicamente visibles frente a los que se consideran sensibles o restringidos.

Programa de bug bounty y postura de seguridad

Un contrapunto central a la narrativa de "sin bug bounty" es el programa de bug bounty declarado de Polymarket. La plataforma indica una iniciativa activa que comenzó el 16 de abril y que desde entonces ha recopilado cientos de informes: 446, según la actualización más reciente. Este ritmo sugiere un esfuerzo activo para identificar y remediar vulnerabilidades, incluso mientras el episodio actual se desarrolla a la vista del público. La existencia de un programa formal de bug bounty puede ser una señal de madurez de seguridad continua, pero también invita al escrutinio sobre el alcance de los informes de errores y la capacidad de respuesta de las correcciones en un entorno de amenazas en rápida evolución.

Los observadores de la industria estarán atentos a si nuevas vulnerabilidades o configuraciones incorrectas continúan surgiendo en las capas de API de Polymarket o si el episodio actual se limita a una mala interpretación de datos públicamente disponibles. La interacción entre la actividad del bug bounty, los plazos de divulgación y la respuesta a incidentes ofrecerá una lectura de la rapidez con que la plataforma puede recuperar la confianza si surgen problemas genuinos.

Contexto de la industria: incidentes de seguridad y transparencia en cadena

El panorama más amplio de seguridad cripto añade contexto al episodio de Polymarket. Los hackers y las configuraciones incorrectas han llevado la seguridad de Web3 a la vanguardia, con el Q1 de 2026 reportando pérdidas notables en numerosos incidentes. Si bien las pérdidas totales y el recuento de incidentes varían según la fuente, la tendencia ilustra que incluso los mercados establecidos y las plataformas de predicción siguen siendo objetivos atractivos para los atacantes que buscan una ventaja de datos o financiera.

Los analistas señalan que la naturaleza pública de los datos en cadena puede ser un arma de doble filo: permite una verificación y responsabilidad rápidas, pero también puede complicar las consideraciones de privacidad si la información de identificación del usuario se entrelaza con datos de transacciones transparentes. En este entorno, las plataformas que defienden la apertura también deben garantizar controles de acceso sólidos, una cuidadosa minimización de datos y políticas de privacidad claras orientadas al usuario para navegar por las expectativas regulatorias y del mercado en evolución.

A medida que evoluciona la narrativa en torno a Polymarket, los observadores querrán ver cómo la plataforma responde al escrutinio continuo, si publica más detalles técnicos sobre sus configuraciones de API y controles de seguridad, y cómo comunica cualquier hallazgo futuro de las divulgaciones de bug bounty. Los informes de investigadores de seguridad, operadores de exchanges e investigadores independientes seguirán dando forma a las percepciones del mercado sobre la fiabilidad de los datos en las plataformas de predicción populares.

En la cobertura de esta semana, Cointelegraph se basó en la evaluación de Hacken del panorama de seguridad del período, subrayando que el primer trimestre de 2026 vio un volumen significativo de exploits en todo el espacio Web3. La confluencia de la accesibilidad pública de datos y las narrativas de hackeos de alto perfil deja claro por qué los inversores y constructores están prestando más atención a cómo las plataformas gestionan la exposición de datos, la seguridad de la API y la respuesta a incidentes en tiempo real.

Fuente: publicaciones de Polymarket en X, comentarios de investigadores de ciberseguridad y datos de la industria citados por Hacken y Cointelegraph.

Polymarket está comprometida con el periodismo independiente y transparente. Este artículo de noticias se adhiere a la Política Editorial de Cointelegraph y tiene como objetivo proporcionar información precisa y oportuna. Se anima a los lectores a verificar la información de forma independiente.

Este artículo fue publicado originalmente como Polymarket Refutes Hacker Claims, Data Remains Public en Crypto Breaking News, su fuente de confianza para noticias cripto, noticias de Bitcoin y actualizaciones de blockchain.