Polymarket спростував звинувачення у витоку даних після того, як суб’єкт під псевдонімом xorcat розмістив 300 000 записів на кіберкримінальному форумі. Децентралізований майданчик прогнозування заявив, що інформація є відкритою через його API та історію ончейн-транзакцій.
Згаданий суб’єкт, виявлений аналітиками Dark Web Informer, стверджував, що отримав профілі користувачів, коментарі, ринкові дані та експлойт-код. Polymarket прокоментував, що розкриття такої інформації є функціональною особливістю протоколу, а не вразливістю.
Витік даних користувачів Polymarket?
У публікації на форумі пропонувалося завантажити 750 МБ архів із приблизно 10 000 профілями користувачів, 4 111 коментарями, 48 536 ринками з Gamma API Polymarket і понад 250 000 активними ринками з CLOB API.
Додатково було включено списки підписників, конфігурації винагород і внутрішні ідентифікатори користувачів.
Окрім нефільтрованих даних, до пакету нібито входили експлойти: Axios proxy bypass (CVE-2025-62718), CORS-місконфігурація для CLOB API, обхід автентифікації через middleware Next.js, а також помилка пагінації, яка дозволяла необмежені обсяги запитів.
У повідомленні наголошувалося, що ці матеріали — доказ недосконалих систем контролю доступу на платформі. Автор публікації також стверджував, що на Polymarket відсутня баг-баунті програма і що адміністрація не отримувала сповіщень про цю ситуацію до публікації.
Позиція Polymarket
Polymarket відреагував протягом кількох годин. У заяві на X (раніше Twitter) було зазначено, що всі згадані в публікації дані доступні для аудиту через ончейн-інтерфейс або задокументовані API-ендпоінти.
«Одна з переваг роботи ончейн – абсолютна прозорість даних для аудиту… Це саме особливість, а не технічний дефект. Ніякої “втрати” інформації не відбулося — вона відкрита через публічні API та ончейн-дані».
Команда уточнила: дослідники не повинні сплачувати посередникам на форумах за доступ до таких даних. Вся інформація вже безоплатно надається протоколом. Користувачам запропоновано переглянути документацію до API.
Межі баг-баунті
Polymarket також заперечив твердження щодо відсутності програми баг-баунті. Платформа вказала на свою програму винагород на $5 млн, адміністровану спільно з Cantina, але підкреслила: отримання відкритих API-даних не підлягає винагородженню.
Претендувати на виплати можуть лише підтверджені уразливості, що дійсно впливають на цілісність коштів, смартконтрактів чи приватності користувачів.
Ситуація ілюструє поширену напругу у сфері ринків прогнозування та інших ончейн-майданчиків. Транспарентний реєстр подій ускладнює межу між розкриттям нової інформації та виявленням відомого.
Polymarket комунікує впевненість у безпечності такої відкритості ринку. Описана реакція може вплинути на майбутню практику висвітлення питань безпеки платформи або подібних інцидентів.
