Polymarket опровергает обвинения в утечке 300 000 записей заметок, заявляя, что API-данные являются общедоступными и поддающимися аудиту

Согласно сообщению Polymarket в X от 29 апреля, аккаунт по кибербезопасности Dark Web Informer обвинил децентрализованную платформу прогнозных рынков Polymarket в взломе: более 300 000 записей и набор инструментов для эксплуатации были слиты на форумы интернет-преступников; Polymarket сразу же в X опроверг это, заявив, что все данные в цепочке публичны и могут быть проверены.

Официальный ответ Polymarket

Согласно заявлению, опубликованному Polymarket 29 апреля 2026 года в платформе X, платформа заявляет, что все ее данные в цепочке публичны и поддаются проверке: любой желающий может бесплатно получать доступ через открытый API без оплаты. В заявлении Polymarket охарактеризовал это как «функцию, а не баг (a feature, not a bug)».

Polymarket также отметил, что на платформе действует план вознаграждений за уязвимости на сумму 5 млн долларов, что противоречит заявлению атакующих «у Polymarket нет плана вознаграждений за уязвимости»; и прямо разъяснил, что действия по атаке публичных API-эндпоинтов не соответствуют критериям для получения вознаграждения.

Содержание обвинений Dark Web Informer и технические детали

Согласно публикации Dark Web Informer в X-платформе от 29 апреля 2026 года, атакующий «xorcat» утверждает, что смог извлечь данные 27 апреля 2026 года, обойдя непубличные эндпоинты, пагинацию и ошибки конфигурации CORS в Gamma и CLOB API Polymarket. Приведенные Dark Web Informer данные по масштабу обвинений следующие:

· Всего более 300 000 записей: после извлечения около 750 MB, после сжатия около 8.3 MB

· Около 10 000 уникальных записей пользователей с полной персональной идентифицирующей информацией (PII), включая имя, псевдоним, прокси-кошелек и базовый адрес

· 48,536 записей рынков Gamma с полной метаданной

· Более 250 000 записей активных CLOB-рынков, содержащих адреса FPMM

В публикации Dark Web Informer также перечислены технические уязвимости, которые, по утверждению атакующего, присутствуют, включая CVE-2025-62718 (обход Axios NO_PROXY, оценка CVSS 9.9), ошибку конфигурации CORS для CLOB API (источник wildcard с credentials=true) и несколько API-эндпоинтов без аутентификации.

Фон плана вознаграждений за уязвимости Polymarket

Согласно странице официального плана вознаграждений за уязвимости Polymarket, на платформе предусмотрен план вознаграждений за уязвимости на 5 млн долларов; отчеты о уязвимостях принимаются через платформу Spearbit/Cantina. План охватывает уязвимости смарт-контрактов и веб-приложений; серьезность разделена на четыре уровня: критические, высокие, средние и низкие. Согласно условиям плана, действия по атаке публичных API-эндпоинтов не входят в рамки права на получение вознаграждения.

Часто задаваемые вопросы

Когда было опубликовано заявление Polymarket об опровержении утечки данных? Каков ключевой тезис?

Согласно заявлению Polymarket от 29 апреля 2026 года в X, платформа отрицает утечку данных, утверждая, что все данные в цепочке изначально являются публичными и поддаются проверке; их можно бесплатно получать через открытый API, а также подчеркивается, что атака публичных API-эндпоинтов не соответствует критериям вознаграждения за уязвимости.

Какой масштаб утекших данных и дата их извлечения, по утверждению Dark Web Informer?

Согласно публикации Dark Web Informer в X от 29 апреля 2026 года, атакующий утверждает, что 27 апреля 2026 года было извлечено более 300 000 записей, включая примерно 10 000 пользовательских записей с полной персональной идентифицирующей информацией (PII) и более 250 000 записей CLOB-рынков.

Каков масштаб плана вознаграждений за уязвимости Polymarket? Какая платформа им управляет?

Согласно странице официального плана вознаграждений за уязвимости Polymarket, размер плана составляет 5 млн долларов; отчеты о уязвимостях принимаются через платформу Spearbit/Cantina; при этом действия по атаке публичных API-эндпоинтов не входят в рамки права на получение вознаграждения.