ZachXBT señala a Polyarb como un mercado de predicción falso que cuenta con un sistema para vaciar carteras

• ZachXBT advirtió el 4 de mayo de 2026 que Polyarb alberga un programa activo de vaciado de monederos dirigido a usuarios de criptomonedas.
• Las cuentas destacadas que responden a las publicaciones de Polyarb amplifican la estafa a nuevas audiencias sin darse cuenta.
• La alerta se produce tras la reciente denuncia de ZachXBT sobre un bufete de abogados estadounidense que reclama 71 millones de dólares en fondos congelados vinculados a Lazarus.

Qué está haciendo Polyarb

Los drenadores de carteras funcionan disfrazando la aprobación de un contrato inteligente malicioso como una transacción rutinaria, de modo que cuando un usuario conecta su cartera y firma lo que parece ser un depósito, una reclamación o una acción de entrada en el mercado, el drenador activa una aprobación oculta e independiente que otorga al atacante acceso total a los fondos de la cartera.

ZachXBT destacó específicamente un riesgo de amplificación, es decir, una cuenta de criptomonedas destacada había respondido a una publicación de Polyarb, lo que le dio a la plataforma un alcance orgánico que de otro modo no habría logrado. Responder al contenido de una plataforma fraudulenta, incluso con escepticismo, pone a esa plataforma ante toda la audiencia del usuario que responde, que puede ascender a millones de personas, sin indicación alguna de que la fuente sea maliciosa.

Parte de un fenómeno más amplio

Las plataformas falsas de finanzas descentralizadas (DeFi) y de mercados de predicción se han convertido en un vector de ataque cada vez más común en 2026. Los operadores de estafas se aprovechan de la creciente visibilidad de plataformas legítimas como Polymarket y Kalshi, ambas con relaciones regulatorias declaradas con la Comisión de Comercio de Futuros de Materias Primas (CFTC), creando sitios similares con una imagen de marca parecida y sin contratos auditados.

ZachXBT ha acumulado un historial consistente de denuncia de estas y otras amenazas relacionadas antes de que se acumulen pérdidas significativas. A principios de este mes, el investigador reveló que un bufete de abogados estadounidense (Gerstein Harrow) había presentado demandas para embargar 71 millones de dólares en ethereum congelados tras el ataque a KelpDAO de abril de 2026 vinculado al Grupo Lazarus, utilizando una sentencia judicial de 2015 contra Corea del Norte para adelantarse a las víctimas reales del hackeo en cualquier cola de recuperación.

Cómo mantenerse a salvo

Antes de conectar un monedero a cualquier mercado de predicción o plataforma DeFi, los usuarios deben verificar la dirección del contrato con la documentación oficial de la plataforma y confirmar que existe una auditoría pública del contrato inteligente realizada por una empresa de seguridad de renombre. Las señales de alerta incluyen la ausencia de relaciones regulatorias divulgadas, la falta de contratos auditados y perfiles en redes sociales que hayan aparecido recientemente en relación con su nivel de actividad declarado.

Revocar las aprobaciones de tokens tras cualquier interacción sospechosa utilizando herramientas como Revoke.cash puede limitar la exposición en curso si ya se ha activado un drainer. Utilizar un monedero físico, en lugar de un monedero caliente basado en navegador que contenga fondos significativos, al conectarse a plataformas desconocidas, puede proporcionar una capa adicional de protección, ya que cada transacción requiere una confirmación física.