Polymarket відкинув заяву продавця з даркнету про витік даних клієнтів, заявивши, що 300 000 записів, які пропонують до продажу, вже є публічно доступними через його ончейн-стрічки та API.
Оголошення хакера та відповідь Polymarket
Актор у даркнеті під псевдонімом «xorcat» posted на DarkForums у вівторок, заявивши, що отримав понад 300 000 записів, зокрема 10 000 профілів користувачів з іменами, зображеннями профілю та адресами гаманців.
Допис був позначений Dark Web Informer та компанією з кібербезпеки Vecert Analyzer.
Polymarket назвав ці повідомлення «повною нісенітницею». Платформа заявила, що дані розміщені за публічними кінцевими точками та в ончейн-записах, які будь-який розробник може безкоштовно отримати.
xorcat заявив, що набір даних був assembled за допомогою недокументованих кінцевих точок API, обходу пагінації та неправильної конфігурації CORS в API Gamma і CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Дослідники та bounty-програма
Продавець заявив, що злив даних є виправданим, оскільки Polymarket не має bug bounty-програми. Це твердження є хибним.
Чинна програма була opened 16 квітня і, за даними її лістингу в Cantina, станом на середу зафіксувала 446 звітів.
Володимир С., директор з безпеки в Legalblock, заявив, що цей лістинг більше схожий на розібрані публічні дані, подані як витік бази даних, а не на справжній злам.
Polymarket уже зазнавав атак. Наприкінці 2025 року з’явилися випадки спорожнення акаунтів, пов’язані з провайдером сторонньої авторизації, а в лютому відбулася офчейн-атака з маніпуляцією nonce проти торгових ботів, але жодна з них не зачіпала основні смартконтракти платформи.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns