Polymarket ha respinto le accuse di violazione dei dati dopo che un hacker noto come xorcat ha pubblicato 300.000 record su un forum di criminalità informatica. Il mercato decentralizzato di previsioni ha affermato che le informazioni sono pubblicamente disponibili tramite le sue API e la cronologia on-chain.
L'attore, individuato dall'account di monitoraggio Dark Web Informer, ha affermato di aver estratto profili utente, commenti, dati di mercato e codice exploit. Polymarket ha risposto definendo la divulgazione una funzionalità piuttosto che una vulnerabilità.
Trapelazione di dati degli utenti di Polymarket?
Il post sul forum pubblicizzava un pacchetto da 750 MB contenente circa 10.000 profili utente, 4.111 commenti, 48.536 mercati provenienti dall'API Gamma di Polymarket e oltre 250.000 mercati attivi provenienti dalla sua API CLOB.
L'attore includeva anche elenchi di follower, configurazioni di ricompensa e identificativi utente interni.
Oltre ai dati grezzi, il pacchetto avrebbe incluso exploit proof-of-concept. Questi includevano una vulnerabilità di bypass del proxy Axios identificata come CVE-2025-62718, una configurazione errata del CORS sull'API CLOB, un bypass dell'autenticazione del middleware Next.js e una falla nella paginazione che, secondo il venditore, consentiva dimensioni illimitate delle query.
Il post presentava la fuga di notizie come prova di falle nei controlli di accesso di Polymarket e affermava che la piattaforma non aveva un programma di ricompense per la segnalazione di bug e che non era mai stata informata prima della pubblicazione.
La risposta di Polymarket
Polymarket ha replicato nel giro di poche ore. In una dichiarazione pubblicata su X, la piattaforma ha affermato che tutti i dati segnalati nel post sono verificabili on-chain o accessibili tramite i suoi endpoint documentati.
"Uno dei vantaggi di essere on-chain è che tutti i nostri dati sono pubblicamente verificabili… questa è una caratteristica, non un difetto. Nessun dato è stato 'trapelato': è accessibile tramite i nostri endpoint pubblici e i dati on-chain."
Il team ha aggiunto che i ricercatori non hanno bisogno di pagare un venditore di forum per questo. Le informazioni sono già pubblicate gratuitamente dal protocollo. Il team ha indirizzato gli utenti alla documentazione API.
Limiti del programma Bug Bounty
Polymarket ha inoltre smentito l'affermazione secondo cui non esisterebbe alcun programma di bug bounty. La piattaforma ha evidenziato il suo programma da 5 milioni di dollari ospitato in collaborazione con Cantina, chiarendo al contempo che lo scraping degli endpoint API pubblici non dà diritto ad alcuna ricompensa.
Le segnalazioni ammissibili riguardano vulnerabilità verificate che interessano fondi, contratti o dati privati degli utenti.
La controversia rispecchia una tensione ricorrente nei mercati delle previsioni e in altre piattaforme on-chain. I registri trasparenti spesso confondono il confine tra divulgazione e scoperta.
La posizione di Polymarket suggerisce che l'azienda non veda rischi significativi nel continuare a rendere pubbliche le attività di mercato. La risposta potrebbe influenzare le modalità di comunicazione dei risultati futuri relativi alla piattaforma.
L'articolo Dark Web rivendica l'attacco hacker a Polymarket, ma la piattaforma risponde per la prima volta è apparso su BeInCrypto .