29 апреля 2026
Злоумышленники утверждают, что более 300 000 записей Polymarket, извлечённых с помощью ошибок и эксплойтов API.
Polymarket отрицает утечку, заявляя, что все ссылки на данные доступны публично через API и в сети.
Спор подчёркивает напряжённость между требованиями по сбору данных и моделлю децентрализованной прозрачности.
Dark Web Informer, наблюдатель за киберпреступностью на X, отметил крупную утечку данных в Polymarket. Он утверждает, что более 300 000 записей были извлечены с помощью уязвимостей API. Тем временем Polymarket отвергла это утверждение, заявив, что данные доступны для общественности.
Предполагаемая утечка данных и детали эксплойта
Киберугроза, известный как «xorcat», заявил о крупномасштабном извлечении данных, связанном с Polymarket. Это утверждение появилось на форуме по киберпреступности и было усилено Dark Web Informer на X.
Согласно публикации, актёр выпустил набор данных, содержащий более 300 000 записей, а также набор эксплойтов и техническую документацию. Набор данных включает широкий спектр платформенных данных. Это включает около 10 000 профилей пользователей с такими деталями, как имена, псевдонимы, биографии, изображения профиля и адреса, связанные с кошельком.
В релизе также перечислены более 250 000 активных рыночных записей, 48 000 гамма-рынков и тысячи комментариев, связанных с аккаунтами пользователей.
Дополнительные записи включают профили подписчиков, внутренние идентификаторы пользователей и отчёты, связанные с адресами Ethereum. Общий размер набора данных был описан примерно как 750 МБ в извлеченном виде. Также была распространена сжатая версия примерно 8,3 МБ.
Методы и уязвимости, упомянутые
Примечательно, что актёр утверждает, что данные были получены через несколько технических недостатков. К ним относятся незадокументированные конечные точки API, обход страниц и неправильная конфигурация кросс-источникового совместного использования ресурсов.
В посте также упоминались несколько уязвимостей, включая обход аутентификации в Next.js промежуточном ПО и проблему с подделкой запросов на сервере, связанную с Axios.
В релиз были включены эксплойты для демонстрации концепции. Пакет также включает автоматический скрипт, который постоянно извлекает свежие данные с платформы. По словам актора, некоторые конечные точки были доступны без аутентификации и могли задавать повторные запросы без ограничений по скорости.
В посте также утверждается, что некоторые конечные точки раскрывали полные профили пользователей, социальные контакты и журналы активности. Эти утверждения не были независимо подтверждены.
Polymarket отрицает любые нарушения
Однако Polymarket отвергла эти заявления и оспарила характеристику инцидента. В ответе компания заявила, что никакие личные данные не были утечены или скомпрометированы. В ней отмечалось, что вся ссылаемая информация уже доступна публично через её API и системы на базе блокчейна.
Платформа подчеркнула, что прозрачность — это ключевая особенность децентрализованной инфраструктуры. В ней утверждалось, что рассматриваемые данные могут быть доступны свободно без эксплуатации защищённых систем. Компания охарактеризовала эти заявления как искажение того, как работает её платформа.
Polymarket также ответил на заявления о отсутствии программы вознаграждения за ошибки. Компания подтвердила, что реализует активную программу с вознаграждением до 5 миллионов долларов за критически важные находки. Компания уточнила, что доступ к публичным конечным точкам не считается уязвимостью по её правилам.
Связано: Как криптомошенники с помощью ИИ истощали сбережения пенсионера в размере 300 тысяч долларов
Под заказ
В наличии
