Polymarket descartou a alegação de um vendedor na dark web sobre uma violação de dados de clientes, dizendo que os 300.000 registros à venda já estavam acessíveis publicamente por meio de seus feeds on-chain e APIs.
Anúncio do hacker e resposta da Polymarket
Um ator da dark web usando o apelido "xorcat" posted no DarkForums na terça-feira, alegando ter obtido mais de 300.000 registros, incluindo 10.000 perfis de usuários com nomes, imagens de perfil e endereços de carteira.
A publicação foi sinalizada pela Dark Web Informer e pela empresa de cibersegurança Vecert Analyzer.
A Polymarket chamou os relatos de "completo e absoluto absurdo". A plataforma afirmou que os dados estão por trás de endpoints públicos e registros on-chain que qualquer desenvolvedor pode acessar gratuitamente.
xorcat disse que o conjunto de dados foi assembled por meio de endpoints de API não documentados, um bypass de paginação e uma configuração incorreta de CORS nas APIs Gamma e CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Pesquisadores e programa de recompensas
O vendedor afirmou que o vazamento era justificado porque a Polymarket não possui programa de bug bounty. Essa afirmação é incorreta.
Um programa ativo foi opened em 16 de abril e havia registrado 446 relatos até quarta-feira, de acordo com sua listagem na Cantina.
Vladimir S, diretor de segurança da Legalblock, disse que o anúncio parece ser dados públicos processados e apresentados como vazamento de banco de dados, em vez de uma violação real.
A Polymarket já foi atingida antes. Esvaziamentos de contas ligados a um provedor terceirizado de login surgiram no fim de 2025, e um ataque de manipulação de nonce off-chain atingiu bots de negociação em fevereiro, nenhum dos quais afetou os contratos centrais da plataforma.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns