Polymarket đã bác bỏ tuyên bố của một người bán trên dark web về việc làm rò rỉ dữ liệu khách hàng, nói rằng 300.000 bản ghi được rao bán vốn đã có thể truy cập công khai thông qua các nguồn cấp on-chain và API của nền tảng.
Bài đăng của hacker và phản hồi từ Polymarket
Một tác nhân trên dark web với bí danh "xorcat" đã posted trên DarkForums vào thứ Ba, tuyên bố đã lấy được hơn 300.000 bản ghi, bao gồm 10.000 hồ sơ người dùng với tên, ảnh đại diện và địa chỉ ví.
Bài đăng đã được Dark Web Informer và công ty an ninh mạng Vecert Analyzer đánh dấu.
Polymarket gọi các báo cáo này là "vô nghĩa hoàn toàn". Nền tảng cho biết dữ liệu nằm sau các endpoint công khai và các bản ghi on-chain mà bất kỳ nhà phát triển nào cũng có thể truy xuất miễn phí.
xorcat nói bộ dữ liệu được assembled thông qua các endpoint API không được ghi chép, kỹ thuật vượt phân trang và cấu hình sai CORS trên các API Gamma và CLOB.
Also Read: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
Các nhà nghiên cứu và chương trình thưởng lỗi
Người bán nói việc tung dữ liệu là hợp lý vì Polymarket không vận hành chương trình bug bounty nào. Khẳng định đó là sai.
Một chương trình đang hoạt động đã opened vào ngày 16 tháng 4 và đã ghi nhận 446 báo cáo tính đến thứ Tư, theo danh sách trên Cantina.
Vladimir S, giám đốc an ninh tại Legalblock, nói rằng bản rao bán trông giống dữ liệu công khai đã được trích xuất và đóng gói lại như một vụ rò rỉ cơ sở dữ liệu hơn là một vụ vi phạm thực sự.
Polymarket từng bị tấn công trước đây. Các vụ rút sạch tài khoản gắn với một nhà cung cấp đăng nhập bên thứ ba đã xuất hiện vào cuối năm 2025, và một cuộc tấn công thao túng nonce off-chain đã nhắm vào các bot giao dịch vào tháng Hai, nhưng cả hai đều không ảnh hưởng đến các hợp đồng cốt lõi của nền tảng.
Read Next: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns