Polymarket odrzucił twierdzenia o wycieku danych po tym, jak osoba znana jako xorcat opublikowała 300 000 rekordów na forum cyberprzestępczym. Zdecentralizowany rynek predykcyjny podkreślił, że te informacje są publicznie dostępne przez API i historię on-chain.
O całej sprawie poinformował profil monitorujący Dark Web Informer. Aktor zagrożenia twierdził, że uzyskał profile użytkowników, komentarze, dane rynkowe oraz kod exploita. Polymarket odpowiedział, nazywając ujawnienie funkcją, a nie luką bezpieczeństwa.
Czy dane użytkowników Polymarket wyciekły?
W poście na forum reklamowano paczkę 750 MB zawierającą około 10 000 profili użytkowników, 4111 komentarzy, 48 536 rynków z Gamma API Polymarket oraz ponad 250 000 aktywnych rynków z CLOB API.
Osoba zamieszczająca post dodała także listy obserwujących, konfiguracje nagród i wewnętrzne identyfikatory użytkowników.
Oprócz surowych danych, paczka miała zawierać przykłady exploitów typu proof-of-concept. Obejmowały one obejście proxy Axios (oznaczone jako CVE-2025-62718), błędną konfigurację CORS na CLOB API, obejście autoryzacji w Next.js middleware oraz błąd paginacji pozwalający na nieograniczone wielkości zapytań.
W poście opisano wyciek jako dowód złamania kontroli dostępu na Polymarket. Dodano też, że platforma nie posiada programu bug bounty i nie została wcześniej powiadomiona o publikacji.
Odpowiedź Polymarket
Polymarket odpowiedział w ciągu kilku godzin. W oświadczeniu na X platforma podkreśliła, że wszystkie dane wymienione w poście są dostępne do audytu na łańcuchu lub poprzez opisane publiczne endpointy.
Piękno funkcjonowania on-chain polega na tym, że wszystkie nasze dane są publicznie audytowalne… to funkcja, a nie błąd. Żadne dane nie “wyciekły” — każdy ma do nich dostęp przez nasze publiczne endpointy i dane na łańcuchu.
Zespół dodał, że badacze nie muszą płacić sprzedawcy na forum za te dane. Protokół już publikuje te informacje darmowo. Użytkownicy mogą znaleźć więcej w dokumentacji API platformy.
Ograniczenia programu bug bounty
Polymarket zaprzeczył też brakowi programu bug bounty. Platforma podkreśliła swój program o wartości 5 mln USD, prowadzony z Cantina. Wyjaśniła przy tym, że pobieranie danych z publicznych endpointów API nie kwalifikuje się do nagrody.
Uprawione zgłoszenia muszą dotyczyć potwierdzonych luk wpływających na środki, kontrakty lub prywatne dane użytkowników.
Spór odzwierciedla częste napięcia na rynkach predykcyjnych i innych platformach on-chain. Transparentność ksiąg rozprasza granice między ujawnieniem a odkryciem.
Postawa Polymarket sugeruje, że nie widzi dużego ryzyka w dalszym ujawnianiu aktywności rynkowej. Ta odpowiedź może mieć wpływ na sposób zgłaszania przyszłych sytuacji na platformie.
