Polymarket ha respinto l'affermazione di un venditore del dark web riguardo a una violazione dei dati dei clienti, dichiarando che i 300.000 record offerti erano già pubblicamente accessibili tramite i suoi feed on-chain e le sue API.
Hacker Listing And Polymarket Reply
Un attore del dark web con lo pseudonimo "xorcat" ha postato su DarkForums martedì, sostenendo di aver estratto oltre 300.000 record, inclusi 10.000 profili utente con nomi, immagini del profilo e indirizzi del wallet.
Il post è stato segnalato da Dark Web Informer e dalla società di cybersecurity Vecert Analyzer.
Polymarket ha definito i rapporti «assolutamente privi di senso». La piattaforma ha affermato che i dati si trovano dietro endpoint pubblici e registri on-chain che qualsiasi sviluppatore può recuperare gratuitamente.
xorcat ha dichiarato che il dataset è stato assemblato tramite endpoint API non documentati, un bypass della paginazione e una configurazione errata del CORS sulle API Gamma e CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Researchers And Bounty Program
Il venditore ha affermato che il dump fosse giustificato perché Polymarket non gestisce alcun programma di bug bounty. Questa affermazione è errata.
Un programma attivo è stato aperto il 16 aprile e ha registrato 446 segnalazioni fino a mercoledì, secondo la sua scheda su Cantina.
Vladimir S, chief security officer di Legalblock, ha dichiarato che l'annuncio sembra composto da dati pubblici analizzati e presentati come una fuga di database, piuttosto che da una reale violazione.
Polymarket è già stata colpita in passato. A fine 2025 sono emersi svuotamenti di account legati a un provider di login di terze parti e, a febbraio, un attacco di manipolazione di nonce off-chain ha colpito i trading bot, senza però interessare i contratti core della piattaforma.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns