Polymarket har afvist påstande om et databrud efter en trusselsperson kendt som xorcat lagde 300.000 poster ud på et cyberkriminalitetsforum. Den decentraliserede forudsigelsesplatform sagde, at oplysningerne er offentligt tilgængelige gennem dets API’er og on-chain historik.
Personen, som blev nævnt af overvågningskontoen Dark Web Informer, hævdede at have hentet brugerprofiler, kommentarer, markedsdata og udnyttelseskode. Polymarket svarede og kaldte offentliggørelsen en funktion snarere end en sårbarhed.
Polymarket brugerdata lækket?
Forumopslaget annoncerede en 750 MB pakke med ca. 10.000 brugerprofiler, 4.111 kommentarer, 48.536 markeder fra Polymarkets Gamma API og over 250.000 aktive markeder fra CLOB API’en.
Desuden inkluderede trusselspersonen følgerlister, belønningskonfigurationer og interne bruger-id’er.
Ud over rådataene skulle pakken angiveligt også indeholde proof-of-concept exploits. Disse dækkede et Axios proxy-bypass registreret som CVE-2025-62718, en CORS-fejl på CLOB API’en, en Next.js middleware-authentificeringsbypass samt en sideinddelingsfejl, som sælgeren hævdede accepterede ubegrænsede forespørgselsstørrelser.
Opslaget beskrev lækagen som bevis for svækket adgangskontrol på tværs af Polymarket og hævdede, at platformen ikke havde et bug bounty-program og aldrig blev underrettet før offentliggørelsen.
Polymarkets svar
Polymarket gik i rette inden for få timer. I en udtalelse på X sagde platformen, at alle de data, der blev nævnt i opslaget, kan gennemses on-chain eller findes via de dokumenterede endpoints.
“Noget af det smukke ved at være on-chain er, at alle vores data kan revideres offentligt… det er en funktion, ikke en fejl. Ingen data blev ‘lækket’ — det er tilgængeligt via vores offentlige endpoints og on-chain data.”
Teamet tilføjede, at forskere ikke behøver at betale en forumsælger for det. Informationen er allerede gratis tilgængelig fra protokollen. Teamet henviste brugerne til deres API-dokumentation.
Begrænsninger på bug bounty
Polymarket afviste også påstanden om, at der ikke eksisterer et bug bounty-program. Platformen fremhævede sit $5 millioner program hos Cantina og præciserede, at udtrækning af data fra offentlige API-endpoints ikke udløser nogen belønning.
Berettigede indberetninger skal involvere bekræftede sårbarheder, der påvirker midler, smart contracts eller private brugeroplysninger.
Tvisten afspejler den tilbagevendende spænding blandt forudsigelsesmarkeder og andre platforme på on-chain området. Gennemsigtige blockchains udvisker ofte grænsen mellem offentliggørelse og opdagelse.
Polymarkets holdning antyder, at de ser lille risiko i fortsat at synliggøre markedsaktivitet. Svaret kan få betydning for, hvordan fremtidige fund omkring platformen rapporteres.
