Polymarket は、ダークウェブの売り手が主張する顧客データ侵害を否定し、 提供されている30万件のレコードは、すでにオンチェーンのフィードやAPIを通じて 公開アクセス可能なものだと述べた。
ハッカーの出品とPolymarketの回答
「xorcat」というハンドルネームを使うダークウェブアクターは火曜日、 DarkForumsに投稿し、 氏名、プロフィール画像、ウォレットアドレスを含む1万件のユーザープロフィールを 含む30万件超のレコードを入手したと主張した。
この投稿は、Dark Web Informerとサイバーセキュリティ企業Vecert Analyzerにより 注目された。
Polymarketは、こうした報道を「完全にでたらめ」と一蹴した。 プラットフォームによれば、問題のデータは公開エンドポイントおよびオンチェーンの レコードの背後にあり、どの開発者でも無料で取得できるという。
xorcatは、このデータセットは、非公開のAPIエンドポイント、ページネーションの 回避、およびGammaとCLOB APIにおけるCORSミスコンフィギュレーションを 通じて組み立てられたものだと主張した。
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
研究者とバグバウンティプログラム
売り手は、Polymarketがバグバウンティプログラムを実施していないため、 ダンプは正当化されると述べた。しかし、この主張は事実と異なる。
ライブのプログラムは4月16日に開始されており、 Cantinaのリスティングによると、水曜日時点で446件の報告が登録されている。
LegalblockのチーフセキュリティオフィサーであるVladimir Sは、この出品は 実際の侵害というより、パースされた公開データをデータベース流出のように 装っているだけに見えると述べた。
Polymarketが攻撃を受けたのは今回が初めてではない。サードパーティのログイン プロバイダーに起因するアカウント流出が2025年末に表面化しており、また オフチェーンのナンス操作攻撃が2月にトレーディングボットを襲ったが、 いずれもプラットフォームのコアコントラクトには影響しなかった。
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns