Polymarket har avfärdat påståenden om dataintrång efter att en person som kallar sig xorcat lade ut 300 000 poster på ett cyberbrottsforum. Den decentraliserade förutsägelsemarknaden säger att informationen redan är offentligt tillgänglig via deras API:er och blockkedjehistorik.
Personen, som Dark Web Informer uppmärksammade, påstod att hen hade hämtat användarprofiler, kommentarer, marknadsdata och exploit-kod. Polymarket svarade att informationen är en funktion och inte ett säkerhetsproblem.
Har Polymarkets användardata läckt?
Forumtråden gjorde reklam för ett paket på 750 MB. Det innehöll cirka 10 000 användarprofiler, 4 111 kommentarer, 48 536 marknader från Polymarkets Gamma API och över 250 000 aktiva marknader från deras CLOB API.
Personen tog också med listor över följare, belöningsinställningar och interna användar-ID:n.
Paketet innehöll påstått även testexploits. Dessa täckte en Axios proxy-bypass med CVE-2025-62718, en CORS-felkonfiguration i CLOB API, en Next.js-mellanvaruautenticerings-bypass och ett sidbläddringsfel som tillät obegränsade frågor.
Inlägget beskrev läckan som bevis på bristande åtkomstkontroller hos Polymarket och påstod att plattformen saknade ett bug bounty-program och aldrig fick någon förvarning före publiceringen.
Polymarkets svar
Polymarket svarade inom några timmar. I ett uttalande på X berättade de att all data som nämns är spårbar i kedjan eller via dokumenterade endpoints.
“En fördel med att vara i kedjan är att all vår data är öppet granskbar… detta är en funktion, inte ett problem. Ingen data har ’läckt’ — den är åtkomlig via våra publika endpoints och blockkedjedata.”
Teamet lade till att forskare inte behöver betala en forumsäljare. Informationen är redan gratis via protokollet. De hänvisade användare till deras API-dokumentation.
Begränsningar i bug bounty
Polymarket motsatte sig också påståendet om brist på bug bounty. Plattformen visade på sitt program på 5 miljoner USD hos Cantina och förtydligade att att ladda ner från publika API:er inte ger belöning.
Godkända rapporter gäller verifierade sårbarheter som påverkar pengar, kontrakt eller privat användardata.
Dispyten liknar en återkommande konflikt i förutsägelsemarknader och andra blockkedjeplattformar. Öppna liggare gör ofta gränsen mellan vad man hittar och offentliggör suddig.
Polymarkets hållning visar att de inte ser någon större risk med att fortsatt visa marknadsaktivitet. Svaren kan påverka hur framtida upptäckter om plattformen rapporteras.
