Reportan presunto exploit que manipula las apuestas en Polymarket

Usuarios en la red social X están reportando un presunto exploit (fragmento de código o comando que aprovecha una vulnerabilidad para comprometer un sistema) de la plataforma de apuestas Polymarket.

La vulnerabilidad detectada estaría alterando artificialmente las probabilidades de distintos mercados, sin ejecutar operaciones reales.

Uno de los denunciantes, conocido en X como Lirrato y quien alertó desde el 21 de febrero sobre el problema y  habló sobre esta vulnerabilidad en el mercado. Citó en específico las «¿Cuotas de nominación de Judy Shelton como presidenta de la FED por encima de ___ para el 20 de febrero?» de PolyMarket. 

Conforme a su exposición, ese mercado habría sido inflado artificialmente del 0,6 % al 30 %, un salto de 5.000%. Sin embargo, al momento de la revisión por parte de CriptoNoticias, el mercado relativo a “Judy Shelton y la FED” no estaba disponible para operar en la web de Polymarket.

Según capturas de pantallas compartidas por Lirrato este 23 de febrero, en el mercado sobre el “Primer Ministro de los Países Bajos” las probabilidades habrían pasado de 0,1% a 35%, un aumento de 35.000%. Esto, sin que efectuaran movimientos en Polygon, red en la que funciona Polymarket y en donde efectivamente se transfieren los fondos.  

El exploit tendría como objetivo alterar las probabilidades para activar los bots de arbitraje que operan en Polymarket.

Esos programas monitorean el libro de órdenes, al detectar una supuesta demanda fuerte (como una orden grande que empuja las cuotas al alza). Además reaccionan automáticamente comprando o ajustando posiciones para capturar diferencias de precio.

De acuerdo con Lirrato, el exploit aprovecharía ese comportamiento automatizado: simular demanda para que los bots actúen, y arrastren también a otros usuarios, para luego retirar la orden antes de que se concrete, dejando a los bots expuestos.

Si terceros reaccionan creyendo que existe interés real a ese nuevo precio, el actor que provocó el movimiento puede aprovechar esa distorsión temporal para capturar ganancias. Sería así, aun cuando la operación original nunca se haya liquidado efectivamente en la cadena.

Según la publicación de Lirrato, tras el brusco movimiento en el mercado de «Judy Shelton y la FED», el equipo de Polymarket habría advertido sobre el presunto exploit con el siguiente mensaje: 

«Polymarket tiene conocimiento de un exploit técnico que podría estar distorsionando los precios de manera artificial. Cualquier precio que resulte claramente de este exploit, en lugar de reflejar el verdadero precio de mercado subyacente, no será tomado en cuenta para la resolución del mercado».

@itslirrato en Twitter.

Al probar otras apuestas, la plataforma rechazó algunos intentos de orden, aunque sí aprobó otros. No fue posible verificar por parte de CriptoNoticias si los rechazos estuvieron relacionados con el presunto exploit. 

Al momento de esta redacción, desde el equipo de Polymarket aún no emiten un comunicado oficial al respecto.

¿Cómo funcionaría el exploit en Polymarket?

Según el reporte de Lirrato, el problema estaría vinculado al libro central de órdenes (CLOB, por sus siglas en inglés) que utiliza Polymarket.  

En el sistema CLOB, las órdenes de compra y venta se emparejan fuera de la cadena de bloques (es decir, en servidores que coordinan las ofertas de los usuarios), mientras que la liquidación final de la operación se registra en Polygon.

Si la orden se cancela después de haber sido emparejada en el libro de órdenes, pero antes de que la transacción quede confirmada en la red Polygon, puede producirse una distorsión temporal en las probabilidades que muestra la plataforma, aun cuando la operación nunca llegue a ejecutarse en la cadena.

A partir de ese diseño híbrido es donde, según los denunciantes, surgiría la vulnerabilidad.

El atacante habría colocado una orden grande dentro del libro de órdenes fuera de la cadena, lo que hace que el sistema muestre nuevas probabilidades y que bots de arbitraje reaccionen automáticamente, creyendo que esa orden será ejecutada. 

Sin embargo, antes de que la operación llegue a liquidarse efectivamente en Polygon, es decir, antes de que el dinero cambie de manos en la cadena, el usuario enviaría una transacción de cancelación utilizando una función técnica llamada ‘incrementNonce’, que invalida la orden previamente firmada. De este modo, la orden habría sido emparejada fuera de la cadena, pero nunca llega a concretarse en la blockchain.

En términos simples, crea la apariencia de una apuesta real que mueve las cuotas, pero la cancela antes de que el dinero cambie de manos. 

Una forma sencilla de entenderlo es imaginar una subasta: alguien levanta la mano y ofrece una suma muy alta, lo que obliga a los demás a reajustar sus ofertas, pero justo antes de cerrar la venta retira su propuesta. El efecto psicológico y el movimiento de precios ya ocurrió, aunque nunca hubo una operación real. 

El ciclo completo del exploit costaría apenas unos dólares en comisiones de red, mientras que los bots que reaccionaron al movimiento quedarían con posiciones abiertas y potenciales pérdidas superiores, según explicó Lirrato. 

¿Bug o problema estructural?

Un analista de mercados de Polymarket, conocido en X como Bubblik, también aportó su visión sobre el presunto exploit en esa plataforma. 

Afirmó que el problema no sería un simple error puntual, sino una debilidad arquitectónica. Según su descripción, al no existir un secuenciador central ni un motor de gestión de riesgo que garantice que las órdenes emparejadas se ejecuten efectivamente en la cadena, el sistema dependería de la confirmación final en Polygon, que puede tardar algunos segundos. 

En términos prácticos, esto abriría una ventana temporal en la que un actor podría simular liquidez, provocar movimientos en las cuotas y luego invalidar la operación antes de su ejecución definitiva. 

Como evidencias, Bubblik aportó una imagen con los que serían los potenciales movimientos efectuados por el atacante de Polymarket en la cadena Polygon:

Sin embargo, hasta el momento, la ausencia de un comunicado oficial por parte de Polymarket impide conocer el alcance real del exploit que se está denunciando.  

Resta esperar una respuesta del equipo de la plataforma de apuestas que confirme, desmienta o detalle lo ocurrido.