ZachXBT denuncia a Polyarb como un mercado de predicciones falso con un drenador de billeteras activo

El investigador onchain ZachXBT ha advertido que Polyarb, un sitio que se presenta como una plataforma de mercados de predicción, está ejecutando un drainer activo de wallets y está ganando alcance a través de cuentas cripto destacadas que responden a sus publicaciones.

Principales conclusiones:

• ZachXBT advirtió el 4 de mayo de 2026 que Polyarb aloja un drainer activo de wallets que ataca a usuarios cripto.
• Cuentas prominentes que responden a publicaciones de Polyarb amplifican la estafa a nuevas audiencias sin darse cuenta.
• La alerta sigue a la reciente exposición de ZachXBT sobre un bufete de abogados de EE. UU. que buscaba 71 millones de dólares en fondos congelados vinculados a Lazarus.

Lo que Polyarb está haciendo

Los drainers de wallets funcionan disfrazando como una aprobación de contrato inteligente malicioso una transacción rutinaria, de modo que cuando un usuario conecta su wallet y firma lo que parece una acción de depósito, cobro o entrada a un mercado, el drainer activa una aprobación separada oculta que otorga al atacante acceso total a los fondos de la wallet.

Fuente de la imagen: X ZachXBT destacó específicamente un riesgo de amplificación, es decir, una cuenta cripto prominente había respondido a una publicación de Polyarb, dándole al sitio un alcance orgánico que de otro modo no lograría. Responder al contenido de una plataforma de estafa, incluso con escepticismo, coloca esa plataforma frente a toda la audiencia del usuario que responde, que puede llegar a millones, sin indicación de que la fuente sea maliciosa.

Parte de un suceso más amplio

Las plataformas falsas de finanzas descentralizadas (DeFi) y de mercados de predicción se han convertido en un vector de ataque cada vez más común en 2026. Los operadores de estafas aprovechan la creciente visibilidad de plataformas legítimas como Polymarket y Kalshi, ambas que han divulgado relaciones regulatorias con la Commodity Futures Trading Commission (CFTC), creando sitios gemelos con branding similar y sin contratos auditados.

ZachXBT ha construido un historial consistente de exponer estas y otras amenazas relacionadas antes de que se acumulen pérdidas significativas. A principios de este mes, el investigador reveló que un bufete de abogados de EE. UU. (Gerstein Harrow) había presentado reclamaciones para incautar 71 millones de dólares en ethereum congelados tras el exploit de KelpDAO de abril de 2026 vinculado al Grupo Lazarus, usando una sentencia legal de 2015 contra Corea del Norte para adelantarse en cualquier cola de recuperación a víctimas reales del hack.

Cómo mantenerse seguro

Antes de conectar una wallet a cualquier plataforma de mercados de predicción o DeFi, los usuarios deberían verificar la dirección del contrato contra la documentación oficial de la plataforma y confirmar que existe una auditoría pública de contrato inteligente de una firma de seguridad reputada. Las señales de alerta incluyen que no se divulgue una relación regulatoria, que no haya contratos auditados y perfiles en redes sociales que parecían recientes en relación con el nivel de actividad que afirman tener.

Revocar las aprobaciones de tokens después de cualquier interacción sospechosa usando herramientas como Revoke.cash puede limitar la exposición continua si el drainer ya se activó. Usar una wallet hardware, en lugar de una wallet caliente basada en navegador que contenga fondos significativos, al conectarse a plataformas desconocidas, puede aportar una capa adicional de protección, ya que cada transacción requiere confirmación física.