Dark Web ने Polymarket हैक का दावा किया, Platform ने किया पलटवार

Polymarket ने डेटा ब्रीच के दावों को खारिज किया है, जिसमें xorcat नाम के एक थ्रेट एक्टर ने एक साइबरक्राइम फोरम पर 300,000 रिकॉर्ड पोस्ट किए थे। डिसेंट्रलाइज्ड prediction market ने कहा कि यह जानकारी उसकी API और ऑन-चेन हिस्ट्री के ज़रिए पब्लिकली उपलब्ध है।

Dark Web Informer की मॉनिटरिंग से सामने आए इस एक्टर ने दावा किया कि उसने यूज़र प्रोफाइल्स, कमेंट्स, मार्केट डेटा और एक्सप्लॉइट कोड निकाले हैं। Polymarket ने इसका जवाब देते हुए कहा कि यह डिस्क्लोजर कोई वल्नरेबिलिटी नहीं, बल्कि एक फीचर है।

Polymarket यूज़र डेटा लीक?

फोरम पोस्ट में 750 MB का पैक एडवर्टाइज किया गया, जिसमें लगभग 10,000 यूज़र प्रोफाइल्स, 4,111 कमेंट्स, Polymarket की Gamma API से 48,536 मार्केट्स और CLOB API से 2,50,000 से ज्यादा एक्टिव मार्केट्स शामिल हैं।

एक्टर ने फॉलोअर लिस्ट्स, रिवार्ड कंफिगरेशन और इंटरनल यूज़र आइडेंटिफायर्स भी शामिल किए हैं।

इन रॉ डेटा से अलग, पैकेज में कथित तौर पर प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट्स भी शामिल हैं। इनमें एक Axios प्रॉक्सी बायपास (CVE-2025-62718), CLOB API पर CORS मिसकंफिगरेशन, Next.js मिडलवेयर ऑथेंटिकेशन बायपास और एक पेजिनेशन फ्ला शामिल है, जिसमें अनलिमिटेड क्वेरी साइज को एक्सेप्ट कर लिया जाता है।

पोस्ट में इस डंप को Polymarket की टूटी हुई एक्सेस कंट्रोल का सबूत बताया गया है और दावा किया गया कि प्लेटफॉर्म के पास कोई बग बाउंटी प्रोग्राम नहीं है और उन्हें पब्लिकेशन से पहले कभी सूचित नहीं किया गया।

Polymarket का जवाब

Polymarket ने कुछ घंटों के अंदर ही जवाब दिया। X पर एक स्टेटमेंट में, प्लेटफॉर्म ने कहा कि पोस्ट में बताया गया सारा डेटा ऑन-चेन ऑडिटेबल है या उसके डाक्यूमेंटेड एंडपॉइंट्स के ज़रिए उपलब्ध है।

टीम ने कहा कि रिसर्चर्स को ये डेटा पाने के लिए फोरम सेलर को पैसे देने की ज़रूरत नहीं है। ये जानकारी पहले से प्रोटोकॉल द्वारा फ्री में जारी की गई है। टीम ने यूज़र्स को अपनी API डाक्यूमेंटेशन देखने की सलाह दी।

बग बाउंटी की लिमिट्स

Polymarket ने यह भी साफ किया कि बग बाउंटी प्रोग्राम ना होने का दावा गलत है। प्लेटफॉर्म ने अपनी $5 मिलियन प्रोग्राम को highlight किया, जिसे Cantina के साथ होस्ट किया गया है, साथ में यह भी बताया कि पब्लिक API एंडपॉइंट की scraping के लिए कोई रिवॉर्ड नहीं मिलता।

योग्य सबमिशन्स में फंड्स, कॉन्ट्रैक्ट्स या प्राइवेट यूज़र डेटा से जुड़ी वेरिफाइड वल्नरेबिलिटीज शामिल होती हैं।

यह विवाद prediction markets और दूसरी ऑन-चेन प्लेटफॉर्म्स में बार-बार दिखने वाले टेंशन जैसा ही है। ट्रांसपैरेंट लेजर्स में अक्सर डिस्क्लोजर और डिस्कवरी के बीच की लाइन ब्लर हो जाती है।

Polymarket के स्टैंड से ऐसा लगता है कि वे मार्केट एक्टिविटी को एक्सपोज करने में कोई रिस्क नहीं मानते। इसका जवाब इस बात को shape दे सकता है कि आगे प्लेटफॉर्म से जुड़ी फाइंडिंग्स कैसे रिपोर्ट की जाती हैं।

The post Dark Web ने Polymarket हैक का दावा किया, Platform ने किया पलटवार appeared first on BeInCrypto Hindi.