Polymarket on kiistänyt väitteet tietomurrosta sen jälkeen, kun xorcat-niminen hakkeri julkaisi 300 000 tietuetta kyberrikollisuusfoorumilla. Hajautettu vedonlyöntialusta totesi, että tiedot ovat julkisesti saatavilla sen API-rajapintojen ja lohkoketjun historian kautta.
Tämä toimija, jonka Dark Web Informer -tarkkailijatili havaitsi, väitti keränneensä käyttäjäprofiilit, kommentit, markkinadataa ja hyödyntämiskoodia. Polymarket vastasi kutsumalla tietojen paljastamista ominaisuudeksi, ei haavoittuvuudeksi.
Polymarket-käyttäjätietoja vuotanut?
Foorumiviestissä mainostettiin 750 MB:n pakettia, joka sisälsi arviolta 10 000 käyttäjäprofiilia, 4 111 kommenttia, 48 536 markkinaa Polymarketin Gamma API:sta sekä yli 250 000 aktiivista markkinaa CLOB API:sta.
Paketissa oli lisäksi seuraajalistoja, palkitsemisasetuksia ja sisäisiä käyttäjätunnisteita.
Raakadatan lisäksi pakettiin väitettiin sisältyvän proof-of-concept-hyökkäyskoodeja. Mukana oli Axios-välityspalvelimen ohitus, joka tunnetaan nimellä CVE-2025-62718, CLOB API:n CORS-virheellisyys, Next.js:n väliohjelmiston todennuksen ohitus sekä sivutustoteutus, joka myyjän mukaan hyväksyi rajattoman määrän kyselyitä.
Julkaisussa esitettiin, että tämä tietopaketti osoittaa Polymarketin pääsysääntöjen puutteita. Siinä väitettiin myös, ettei alustalla ole bug bounty -ohjelmaa ja että siitä ei ilmoitettu ennen tietojen julkaisemista.
Polymarketin vastaus
Polymarket kommentoi asiaa muutamassa tunnissa. X:ssä annetussa lausunnossa alusta totesi, että kaikki kirjoituksessa mainitut tiedot ovat tarkistettavissa lohkoketjussa tai löytyvät sen dokumentoiduista päätepisteistä.
“Lohkoketjussa toimimisen yhtenä etuna on, että kaikki tietomme ovat julkisesti tarkistettavissa… tämä on ominaisuus, ei virhe. Tietoja ei ole ‘vuotanut’ — ne ovat saatavilla julkisten päätepisteidemme ja lohkoketjudatan kautta.”
Tiimi lisäsi, ettei tutkijoiden tarvitse maksaa foorumimyyjälle näistä tiedoista. Protokolla julkaisee nämä tiedot jo valmiiksi ilmaiseksi. Käyttäjiä ohjattiin tutustumaan API-dokumentaatioon.
Bug bounty -ohjelman rajat
Polymarket kiisti myös väitteen, ettei bug bounty -ohjelmaa olisi. Alusta nosti esille Cantinan kanssa järjestetyn 5 miljoonan dollarin ohjelmansa ja selvensi, ettei julkisten API-päätepisteiden haravointi oikeuta palkkioon.
Hyväksytyt ilmoitukset koskevat vahvistettuja haavoittuvuuksia, jotka vaikuttavat varoihin, sopimuksiin tai yksityisiin käyttäjätietoihin.
Tämä kiista muistuttaa vastaavista konflikteista, joita esiintyy vedonlyöntimarkkinoilla ja muilla lohkoketjualustoilla. Läpinäkyvät tilikirjat hämärtävät usein ilmoittamisen ja löytämisen rajoja.
Polymarketin kanta viestii, että se ei näe suurta riskiä markkina-aktiivisuuden julkisessa esittämisessä. Tämänlainen reaktio voi vaikuttaa siihen, miten alustaa koskevista löydöksistä jatkossa raportoidaan.
