Децентрализованная биржа Polymarket отвергла обвинения в утечке данных. Ранее неизвестный пользователь под псевдонимом xorcat опубликовал 300 тысяч записей на хакерском форуме. Биржа предсказаний назвала эту информацию публичной. Данные всегда доступны через программный интерфейс приложения (API) и историю транзакций в блокчейне.
Аккаунт мониторинга Dark Web Informer обнаружил сообщение хакера. Злоумышленник заявил об извлечении профилей пользователей и комментариев. Он также упомянул рыночные данные и код эксплойта. Биржа назвала публикацию особенностью архитектуры, а не уязвимостью.
Содержимое слитой базы
Автор сообщения на форуме рекламировал архив размером 750 МБ. Внутри находилось около 10 тысяч профилей пользователей и 4 111 комментариев. База включала 48 536 рынков из интерфейса Gamma API. Там же находилось более 250 тысяч активных рынков из CLOB API.
Хакер также добавил списки подписчиков и настройки вознаграждений. Архив содержал внутренние идентификаторы клиентов биржи.
Пакет якобы включал концептуальные доказательства уязвимостей. Они охватывали обход прокси-сервера Axios с идентификатором CVE-2025-62718. Автор также указал на неверную конфигурацию CORS в интерфейсе CLOB. В списке значился обход аутентификации промежуточного программного обеспечения Next.js. Продавец сообщил об ошибке нумерации страниц. Эта уязвимость якобы позволяла отправлять запросы неограниченного размера.
Публикация представляла дамп как доказательство неисправного контроля доступа на бирже. Злоумышленник заявил об отсутствии программы вознаграждения за поиск ошибок. Он не уведомлял разработчиков перед публикацией архива.
Официальный ответ разработчиков
Биржа отреагировала через несколько часов. Компания опубликовала заявление в социальной сети X. Команда отметила возможность проверить все упомянутые данные в блокчейне. Информацию также можно получить через задокументированные конечные точки.
Представители Polymarket заявили: «Часть преимущества работы в блокчейне заключается в том, что все наши данные можно публично проверить… это особенность, а не ошибка. Никакие данные не утекли — они доступны через наши публичные конечные точки и данные в сети».
Команда добавила важную деталь. Исследователям не нужно платить продавцу на форуме за эти сведения. Протокол уже публикует эту информацию бесплатно. Разработчики посоветовали пользователям изучить документацию API.
Программа вознаграждения за поиск уязвимостей
Биржа также опровергла заявление об отсутствии программы вознаграждений. Компания напомнила о своем фонде в размере $5 млн на сервисе Cantina. Команда уточнила правила участия. Сбор данных из публичных конечных точек API не дает права на получение выплаты.
Подходящие заявки должны содержать проверенные уязвимости. Они должны затрагивать средства, смарт-контракты или личные данные пользователей.
Этот спор отражает постоянное напряжение на рынках предсказаний. Прозрачные реестры часто стирают грань между раскрытием информации и обнаружением уязвимости.
Позиция Polymarket показывает отсутствие страха перед открытой демонстрацией рыночной активности. Этот ответ может повлиять на форматы будущих отчетов об ошибках на бирже.
