Polymarket заперечує звинувачення у витоку 300 тис. записів і заявляє, що API-дані є публічними та такими, що піддаються аудиту

Згідно з дописом у X від Polymarket від 29 квітня, акаунт з кібербезпеки Dark Web Informer звинуватив децентралізовану платформу прогнозних ринків Polymarket у зломі: понад 300 тис. записів і один набір інструментів для експлуатації у вигляді вразливостей було викладено в інтернет-майданчик для кіберзлочинців; Polymarket одразу в X заявив заперечення, зазначивши, що всі дані в ланцюжку є публічними й їх можна аудитувати.

Офіційна відповідь Polymarket

Згідно із заявою, опублікованою Polymarket 29 квітня 2026 року в X, платформа заявляє, що всі її дані в ланцюжку є публічними й їх можна аудитувати; будь-хто може безкоштовно отримати їх через публічний API, без необхідності платити. У своїй заяві Polymarket охарактеризував це як «функцію, а не баг (a feature, not a bug)».

Також Polymarket зазначив, що на платформі діє програма винагород за виявлення вразливостей на суму 5 млн доларів США, що суперечить твердженням нападника «у Polymarket немає програми винагород за виявлення вразливостей»; і чітко пояснив, що дії з експлуатації публічних API-ендпойнтів не відповідають умовам для отримання винагороди.

Звинувачення Dark Web Informer і технічні деталі

Згідно з дописом Dark Web Informer від 29 квітня 2026 року в X, нападник «xorcat» стверджує, що шляхом використання непублічних ендпойнтів, обхід через пагінацію та помилки конфігурації CORS в Gamma та CLOB API Polymarket, він виконав вилучення даних 27 квітня 2026 року. Дані обсягу висунутих звинувачень, розкритих Dark Web Informer, такі:

· Загалом понад 300 тис. записів; після вилучення приблизно 750 MB, після стиснення приблизно 8.3 MB

· Близько 10 тис. унікальних записів користувачів, що містять повні персональні ідентифікаційні дані (PII), включно з іменем, псевдонімом, проксі-гаманцем та базовою адресою

· 48,536 записів ринку Gamma з повною метаданою

· Понад 250 тис. активних CLOB-записів ринку з адресами FPMM

У дописі Dark Web Informer також наведені технічні вразливості, які, на думку нападника, були наявні: CVE-2025-62718 (обхід Axios NO_PROXY, оцінка CVSS 9.9), помилка конфігурації CLOB API CORS (source=* з credentials=true) та кілька API-ендпойнтів без автентифікації.

Передумови програми винагород Polymarket за вразливості

Згідно зі сторінкою офіційної програми винагород Polymarket за виявлення вразливостей, на платформі діє програма винагород на суму 5 млн доларів США; винагороди приймаються через платформи Spearbit/Cantina. Вона охоплює вразливості смартконтрактів і вебзастосунків; рівні серйозності поділяються на чотири категорії: критичні, високі, середні та низькі. Згідно з умовами програми, дії з експлуатації публічних API-ендпойнтів не входять до сфери її винагород.

Питання та відповіді

Коли було опубліковано заяву Polymarket про заперечення витоку даних? Які ключові аргументи?

Згідно із заявою Polymarket від 29 квітня 2026 року в X, платформа заперечує витік даних і зазначає, що всі дані в ланцюжку є публічними й їх можна аудитувати; їх можна безкоштовно отримати через публічний API, а також підкреслює, що експлуатація публічних API-ендпойнтів не відповідає умовам для отримання винагороди за вразливості.

Який заявлений масштаб витоку даних і яка дата вилучення даних за твердженням Dark Web Informer?

Згідно з дописом Dark Web Informer від 29 квітня 2026 року в X, нападник стверджує, що 27 квітня 2026 року було вилучено понад 300 тис. записів, включно з приблизно 10 тис. користувацьких записів, що містять повні персональні ідентифікаційні дані (PII), та понад 250 тис. записів ринку CLOB.

Який розмір програми винагород Polymarket за вразливості? Яка платформа керує нею?

Згідно зі сторінкою офіційної програми винагород Polymarket за виявлення вразливостей, її розмір становить 5 млн доларів США; програма приймає повідомлення про вразливості через платформи Spearbit/Cantina; дії з експлуатації публічних API-ендпойнтів не входять до сфери її винагород.