Polymarket odrzucił twierdzenie sprzedawcy z dark webu o włamaniu i kradzieży danych klientów, stwierdzając, że oferowane 300 000 rekordów było już publicznie dostępne poprzez jego on-chain feedy i API.
Ogłoszenie hakera i odpowiedź Polymarket
Aktor z dark webu posługujący się pseudonimem „xorcat” posted na DarkForums we wtorek, twierdząc, że pozyskał ponad 300 000 rekordów, w tym 10 000 profili użytkowników z imionami, obrazami profilowymi i adresami portfeli.
Wpis został oznaczony przez Dark Web Informer oraz firmę cybersecurity Vecert Analyzer.
Polymarket nazwał te doniesienia „całkowitym i kompletnym nonsensem”. Platforma stwierdziła, że dane znajdują się za publicznymi endpointami i w on-chain rekordach, które każdy deweloper może bezpłatnie pobrać.
xorcat powiedział, że zestaw danych został assembled zebrany poprzez niedokumentowane endpointy API, obejście paginacji oraz błędną konfigurację CORS w API Gamma i CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Badacze i program bug bounty
Sprzedawca stwierdził, że ujawnienie danych jest uzasadnione, ponieważ Polymarket nie prowadzi programu bug bounty. To twierdzenie jest nieprawdziwe.
Aktywny program został opened uruchomiony 16 kwietnia i według listingu na Cantina odnotował 446 zgłoszeń do środy.
Vladimir S, szef bezpieczeństwa w Legalblock, powiedział, że ogłoszenie wygląda na przetworzone publiczne dane przebrane za wyciek bazy danych, a nie prawdziwe naruszenie.
Polymarket był już wcześniej atakowany. Wyczerpanie środków z kont powiązane z zewnętrznym dostawcą logowania pojawiło się pod koniec 2025 roku, a atak polegający na manipulacji nonce off-chain uderzył w boty tradingowe w lutym; żaden z tych incydentów nie naruszył podstawowych kontraktów platformy.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns