Ciemna sieć twierdzi, że doszło do ataku na Polymarket, ale platforma odpowiada

Polymarket odrzucił twierdzenia o wycieku danych po tym, jak osoba znana jako xorcat opublikowała 300 000 rekordów na forum cyberprzestępczym. Zdecentralizowany rynek predykcyjny podkreślił, że te informacje są publicznie dostępne przez API i historię on-chain.

O całej sprawie poinformował profil monitorujący Dark Web Informer. Aktor zagrożenia twierdził, że uzyskał profile użytkowników, komentarze, dane rynkowe oraz kod exploita. Polymarket odpowiedział, nazywając ujawnienie funkcją, a nie luką bezpieczeństwa.

Czy dane użytkowników Polymarket wyciekły?

W poście na forum reklamowano paczkę 750 MB zawierającą około 10 000 profili użytkowników, 4111 komentarzy, 48 536 rynków z Gamma API Polymarket oraz ponad 250 000 aktywnych rynków z CLOB API.

Osoba zamieszczająca post dodała także listy obserwujących, konfiguracje nagród i wewnętrzne identyfikatory użytkowników.

Oprócz surowych danych, paczka miała zawierać przykłady exploitów typu proof-of-concept. Obejmowały one obejście proxy Axios (oznaczone jako CVE-2025-62718), błędną konfigurację CORS na CLOB API, obejście autoryzacji w Next.js middleware oraz błąd paginacji pozwalający na nieograniczone wielkości zapytań.

W poście opisano wyciek jako dowód złamania kontroli dostępu na Polymarket. Dodano też, że platforma nie posiada programu bug bounty i nie została wcześniej powiadomiona o publikacji.

Odpowiedź Polymarket

Polymarket odpowiedział w ciągu kilku godzin. W oświadczeniu na X platforma podkreśliła, że wszystkie dane wymienione w poście są dostępne do audytu na łańcuchu lub poprzez opisane publiczne endpointy.

Zespół dodał, że badacze nie muszą płacić sprzedawcy na forum za te dane. Protokół już publikuje te informacje darmowo. Użytkownicy mogą znaleźć więcej w dokumentacji API platformy.

Ograniczenia programu bug bounty

Polymarket zaprzeczył też brakowi programu bug bounty. Platforma podkreśliła swój program o wartości 5 mln USD, prowadzony z Cantina. Wyjaśniła przy tym, że pobieranie danych z publicznych endpointów API nie kwalifikuje się do nagrody.

Uprawione zgłoszenia muszą dotyczyć potwierdzonych luk wpływających na środki, kontrakty lub prywatne dane użytkowników.

Spór odzwierciedla częste napięcia na rynkach predykcyjnych i innych platformach on-chain. Transparentność ksiąg rozprasza granice między ujawnieniem a odkryciem.

Postawa Polymarket sugeruje, że nie widzi dużego ryzyka w dalszym ujawnianiu aktywności rynkowej. Ta odpowiedź może mieć wpływ na sposób zgłaszania przyszłych sytuacji na platformie.

BeInCrypto Polska - Ciemna sieć twierdzi, że doszło do ataku na Polymarket, ale platforma odpowiada