Polymarket har avvist påstander om databrudd etter at en trusselaktør kjent som xorcat publiserte 300 000 poster på et nettforum for nettkriminalitet. Det desentraliserte markedsprognose-protokollen sier at informasjonen er offentlig tilgjengelig via sine API-er og blokkjedehistorikk.
Aktøren, som ble omtalt av Dark Web Informer-overvåkningskontoen, hevdet å ha hentet ut brukerprofiler, kommentarer, markedsdata og utnyttelseskode. Polymarket svarte at offentliggjøringen er en funksjon, ikke en sårbarhet.
Polymarket brukerdata lekket?
Foruminnlegget reklamerte for en pakke på 750 MB som inneholder cirka 10 000 brukerprofiler, 4 111 kommentarer, 48 536 markeder fra Polymarkets Gamma API, og mer enn 250 000 aktive markeder fra CLOB API-en.
Aktøren inkluderte også følgelister, belønningsoppsett og interne bruker-ID-er.
I tillegg til rådataene skal pakken også ha inneholdt proof-of-concept utnyttelser. Disse dekket blant annet en Axios proxy bypass sporet som CVE-2025-62718, en CORS-feil på CLOB API-en, en Next.js-mellomvare autentiseringsbypass, og en pagineringsfeil selgeren hevdet godtok ubegrenset forespørselsstørrelse.
Innlegget presenterte datadumpen som bevis på sviktende tilgangskontroll i Polymarket og hevdet at plattformen ikke hadde noe bug bounty-program og aldri ble varslet før publisering.
Polymarkets respons
Polymarket kom med en avklaring i løpet av få timer. I en uttalelse på X skrev plattformen at all data nevnt i innlegget kan revideres på blokkjeden eller nås via dokumenterte endepunkter.
“En av fordelene med å være på blokkjeden er at alle våre data er offentlig reviderbare… dette er en funksjon, ikke en feil. Ingen data har blitt ‘lekket’ — de er tilgjengelige via våre offentlige endepunkter og blokkjededata.”
Teamet la til at forskere ikke trenger å betale noen forumseller for dette. Informasjonen er allerede tilgjengelig gratis gjennom protokollen. De viste til sin API-dokumentasjon.
Bug bounty-begrensninger
Polymarket avviste også påstanden om at det ikke finnes et bug bounty-program. Plattformen fremhevet sitt $ 5 millioner-program i samarbeid med Cantina, og presiserte at scraping av offentlige API-endepunkter ikke gir rett til belønning.
Gyldige innsendinger gjelder verifiserte sårbarheter som påvirker midler, kontrakter eller private brukerdata.
Uenigheten gjenspeiler en gjenkommende spenning mellom markedsprognose-plattformer og andre onchain-løsninger. Gjennomsiktige registre gjør skillet mellom offentliggjøring og oppdagelse uklart.
Polymarkets holdning antyder at de anser det som liten risiko å fortsette å eksponere markedsaktivitet. Svaret kan ha betydning for hvordan fremtidige funn rundt plattformen blir rapportert.
