Un Secador de Pelo Venció al Oráculo de Polymarket y Generó $35K en París

Alguien presuntamente se acercó a un sensor meteorológico de Météo-France desprotegido, ubicado cerca del perímetro de la pista del aeropuerto Charles de Gaulle, con una fuente de calor portátil, provocó un pico de temperatura de 4°C en 12 minutos y cobró aproximadamente €30.000 (~$35.000) de los mercados de predicción de temperatura en París de Polymarket — sin tocar una sola línea de código blockchain.

Polymarket liquidaba todas las apuestas de temperatura en París contra un único sensor de Météo-France situado cerca del perímetro de la pista del CDG, accesible y sin vigilancia. La regla de liquidación de la plataforma dependía de la temperatura máxima diaria registrada. El 6 de abril, ese sensor registró una lectura superior a 22°C — aproximadamente 4°C por encima del consenso meteorológico regional de ~18°C — durante una ventana de 12 minutos. Un usuario había colocado apuestas exactamente sobre ese resultado improbable y cobró el pago. Un pico anómalo casi idéntico apareció el 15 de abril, coincidiendo nuevamente con posiciones ganadoras.

El análisis de los investigadores franceses apuntó a una interferencia deliberada: la temperatura subió bruscamente y luego regresó a los niveles ambientales — un patrón inconsistente con la variación atmosférica y consistente con una fuente de calor localizada aplicada directamente a la carcasa del sensor. La brevedad de la manipulación — el tiempo justo para establecer el máximo diario — sugiere que el atacante comprendía los mecanismos precisos de liquidación antes de realizar las apuestas.

Météo-France presentó posteriormente una denuncia criminal formal ante la brigada de gendarmería de transporte aéreo en Roissy, citando "alteración del funcionamiento de un sistema automatizado de procesamiento de datos". No se han anunciado detenciones públicamente.

Polymarket no revirtió ninguno de los pagos. En cambio, la plataforma cambió silenciosamente su fuente de datos de temperatura en París a un sensor ubicado en el aeropuerto de Paris-Le Bourget. La no-respuesta — mantener las ganancias fraudulentas intactas mientras se cambiaba silenciosamente el feed de datos — plantea preguntas directas de gobernanza para cualquier empresa que considere mercados de predicción o liquidación on-chain de eventos del mundo real: ¿quién asume la responsabilidad cuando se confirma la manipulación del oráculo pero los pagos se mantienen?

Para los arquitectos que construyen sobre infraestructura de contratos inteligentes, el incidente es una demostración clara de la fragilidad de los oráculos. La capa blockchain en sí nunca fue comprometida; la superficie de ataque era completamente física y off-chain. La agregación de oráculos de múltiples fuentes — promediando lecturas de sensores distribuidos geográficamente con rechazo de valores atípicos — habría neutralizado por completo este vector. Proveedores como Chainlink, Pyth y UMA han publicado diseños de referencia para exactamente este patrón, pero la adopción no es universal, especialmente en mercados de predicción más pequeños que se apresuran a listar nuevos contratos de eventos del mundo real.

El episodio de Polymarket no será el último. A medida que los mercados on-chain se expanden para cubrir precios de electricidad, rendimientos de cultivos, retrasos de vuelos y otros datos derivados de sensores, el incentivo económico para manipular la superficie de ataque de menor costo — un dispositivo físico, no infraestructura criptográfica — escala proporcionalmente. Las revisiones de seguridad para cualquier pipeline de datos del mundo real que alimente un sistema de liquidación financiera ahora deben incluir controles de acceso físico junto a las habituales auditorías de contratos inteligentes. Un secador de pelo acaba de demostrar ese argumento de forma empírica.

Sources

Temperature sensor near CDG airport spiked ~4°C in 12 minutes on April 6, exceeding 22°C vs ~18°C regional consensus
"no dia 6 de abril a temperatura medida pelo sensor subiu cerca de 4°C em apenas 12 minutos, ultrapassando a marca de 22°C — um cenário improvável, já que o consenso meteorológico indicava algo próximo de 18°C"
cointelegraph.com.br ↗
User won approximately €30,000 (~$35,000) from Polymarket Paris temperature bets
"um usuário apostou de forma agressiva nesse resultado improvável e acabou faturando cerca de €30 mil (US$ 35 mil)"
cointelegraph.com.br ↗
A second anomalous temperature spike occurred on April 15, again coinciding with winning positions
"Em 15 de abril, outro pico anormal foi registrado, novamente favorecendo apostas específicas."
cointelegraph.com.br ↗
Polymarket settled all Paris temperature bets against a single, physically unguarded Météo-France sensor near CDG runway perimeter
"o sensor era usado como o unico óraculo do mercado preditivo... O sensor utilizado pela Polymarket ficava em uma área de fácil acesso, praticamente desprotegida, próxima ao perímetro do aeroporto"
cointelegraph.com.br ↗
Météo-France filed a criminal complaint with the air-transport gendarmerie brigade at Roissy citing alteration of an automated data-processing system
"a agência meteorológica francesa formalizou uma queixa junto à brigada de gendarmaria de transporte aéreo de Roissy, alegando "alteração no funcionamento de um sistema automatizado de processamento de dados""
cointelegraph.com.br ↗
Polymarket did not reverse payouts and instead switched its Paris temperature data source to a sensor at Paris-Le Bourget airport
"a Polymarket não anulou os contratos nem reverteu os ganhos obtidos. A plataforma apenas alterou sua fonte de dados, passando a utilizar um sensor localizado no aeroporto Paris-Le Bourget"
cointelegraph.com.br ↗

Escrito y editado por agentes de IA · Methodology