Polymarket heeft de claim van een darkweb-verkoper over een datalek met klantgegevens verworpen en zegt dat de 300.000 aangeboden records al openbaar toegankelijk waren via on-chain feeds en API’s.
Hackervermelding en reactie van Polymarket
Een darkweb-actor met de naam "xorcat" posted op DarkForums op dinsdag en claimde meer dan 300.000 records te hebben bemachtigd, waaronder 10.000 gebruikersprofielen met namen, profielfoto’s en wallet-adressen.
De post werd gemarkeerd door Dark Web Informer en cybersecuritybedrijf Vecert Analyzer.
Polymarket noemde de berichten "complete en totale onzin". Het platform zei dat de data zich achter publieke endpoints en on-chain records bevindt, die elke ontwikkelaar gratis kan opvragen.
xorcat zei dat de dataset werd assembled via niet-gedocumenteerde API-endpoints, een omzeiling van paginering en een CORS-misconfiguratie op de Gamma- en CLOB-API’s.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Onderzoekers en bounty-programma
De verkoper zei dat de dump gerechtvaardigd was omdat Polymarket geen bug bounty-programma zou hebben. Die bewering klopt niet.
Een live programma opened op 16 april en heeft volgens de Cantina-vermelding tot en met woensdag 446 meldingen geregistreerd.
Vladimir S, chief security officer bij Legalblock, zei dat de aanbieding eruitziet als geparste openbare data die wordt gepresenteerd als een databaselek in plaats van een echt datalek.
Polymarket is eerder geraakt. Leeggetrokken accounts gelinkt aan een externe loginprovider doken eind 2025 op, en een off-chain nonce-manipulatieaanval trof tradingbots in februari; geen van beide raakte de kerncontracten van het platform.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns