Polymarket rejeitou a alegação de um vendedor na dark web sobre vazamento de dados de clientes, dizendo que os 300.000 registros oferecidos já estavam publicamente acessíveis por meio de seus feeds on-chain e APIs.
Anúncio do hacker e resposta da Polymarket
Um ator da dark web usando o apelido "xorcat" posted no DarkForums na terça-feira, afirmando ter obtido mais de 300.000 registros, incluindo 10.000 perfis de usuários com nomes, imagens de perfil e endereços de carteira.
A publicação foi sinalizada pela Dark Web Informer e pela empresa de cibersegurança Vecert Analyzer.
A Polymarket classificou os relatos como "um completo e absoluto absurdo". A plataforma afirmou que os dados estão por trás de endpoints públicos e registros on-chain que qualquer desenvolvedor pode acessar gratuitamente.
xorcat disse que o conjunto de dados foi assembled por meio de endpoints de API não documentados, um bypass de paginação e uma má configuração de CORS nas APIs Gamma e CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Pesquisadores e programa de recompensas
O vendedor afirmou que o vazamento seria justificável porque a Polymarket não possui programa de bug bounty. Essa afirmação é incorreta.
Um programa ativo foi opened em 16 de abril e registrou 446 relatórios até quarta-feira, de acordo com seu cadastro na Cantina.
Vladimir S, diretor de segurança da Legalblock, disse que o anúncio parece ser dados públicos processados e apresentados como vazamento de banco de dados, em vez de uma violação real.
A Polymarket já foi alvo antes. Drenagens de contas ligadas a um provedor de login de terceiros surgiram no fim de 2025, e um ataque de manipulação de nonce off-chain atingiu bots de negociação em fevereiro, nenhum dos quais afetou os contratos centrais da plataforma.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns