Polymarket hat die Behauptung eines Darknet-Verkäufers über ein Datenleck bei Kundendaten zurückgewiesen und erklärt, die angebotenen 300.000 Datensätze seien bereits über seine On-Chain-Feeds und APIs öffentlich zugänglich.
Hacker-Eintrag und Antwort von Polymarket
Ein Darknet-Akteur mit dem Handle „xorcat“ posted am Dienstag auf DarkForums und behauptete, mehr als 300.000 Datensätze erlangt zu haben, darunter 10.000 Benutzerprofile mit Namen, Profilbildern und Wallet-Adressen.
Der Beitrag wurde von Dark Web Informer und der Cybersicherheitsfirma Vecert Analyzer gemeldet.
Polymarket bezeichnete die Berichte als „vollkommenen und absoluten Unsinn“. Die Plattform erklärte, die Daten lägen hinter öffentlichen Endpunkten und On-Chain-Einträgen, die jeder Entwickler kostenlos abrufen könne.
xorcat sagte, der Datensatz sei assembled worden über undokumentierte API-Endpunkte, ein Umgehen der Paginierung und eine CORS-Fehlkonfiguration bei den Gamma- und CLOB-APIs.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Forscher und Bounty-Programm
Der Verkäufer sagte, der Dump sei gerechtfertigt, weil Polymarket kein Bug-Bounty-Programm betreibe. Diese Behauptung ist falsch.
Ein laufendes Programm wurde am 16. April opened und hat laut seinem Cantina-Eintrag bis Mittwoch 446 Meldungen verzeichnet.
Vladimir S, Chief Security Officer bei Legalblock, sagte, das Angebot sehe nach geparsten öffentlichen Daten aus, die als Datenbank-Leak getarnt würden, statt nach einem echten Einbruch.
Polymarket war bereits zuvor betroffen. Kontenentleerungen im Zusammenhang mit einem Drittanbieter-Login tauchten Ende 2025 auf, und ein Off-Chain-Nonce-Manipulationsangriff traf im Februar Trading-Bots – keiner der Vorfälle beeinträchtigte jedoch die Kernverträge der Plattform.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns