Polymarket ha respinto le accuse di una violazione dei dati dopo che un attore chiamato xorcat ha pubblicato 300.000 record su un forum di cybercriminalità. Il mercato decentralizzato di prediction ha dichiarato che queste informazioni sono già pubblicamente accessibili tramite le sue API e lo storico on-chain.
L’attore, segnalato dall’account di monitoraggio Dark Web Informer, ha affermato di aver estratto profili utente, commenti, dati di mercato e codice di exploit. Polymarket ha risposto, definendo la divulgazione una funzionalità, non una vulnerabilità.
Dati utente di Polymarket trapelati?
Il post sul forum ha pubblicizzato un pacchetto da 750 MB contenente circa 10.000 profili utente, 4.111 commenti, 48.536 mercati dall’API Gamma di Polymarket e oltre 250.000 mercati attivi dalla sua API CLOB.
L’attore ha incluso anche liste di follower, configurazioni delle ricompense e identificativi interni degli utenti.
Oltre ai dati grezzi, il pacchetto avrebbe incluso anche exploit proof-of-concept. Questi riguardavano un bypass del proxy Axios tracciato come CVE-2025-62718, una errata configurazione CORS sull’API CLOB, un bypass dell’autenticazione middleware in Next.js e un difetto di paginazione che il venditore sostiene accettasse query di dimensioni illimitate.
Il post ha presentato il dump come prova di controlli di accesso malfunzionanti su Polymarket e ha affermato che la piattaforma non dispone di un programma di bug bounty e non è mai stata notificata prima della pubblicazione.
La risposta di Polymarket
Polymarket ha replicato nel giro di poche ore. In una dichiarazione su X, la piattaforma ha affermato che tutti i dati menzionati nel post sono verificabili on-chain o accessibili tramite i suoi endpoint documentati.
“Uno degli aspetti positivi dell’essere on-chain è che tutti i nostri dati sono pubblicamente verificabili… questa è una funzionalità, non un bug. Nessun dato è stato ‘trapelato’ — sono accessibili tramite i nostri endpoint pubblici e dati on-chain.”
Il team ha aggiunto che i ricercatori non devono pagare un venditore sul forum per queste informazioni. I dati sono già resi pubblici dal protocollo e disponibili gratuitamente. Il team ha invitato gli utenti a consultare la documentazione delle sue API.
Limiti del bug bounty
Polymarket ha anche contestato l’affermazione secondo cui non esisterebbe nessun bug bounty. La piattaforma ha evidenziato il suo programma da 5 milioni di dollari in collaborazione con Cantina, precisando però che lo scraping degli endpoint pubblici API non dà diritto ad alcuna ricompensa.
Le segnalazioni valide includono vulnerabilità verificate che incidono su fondi, smart contract o dati privati degli utenti.
La disputa riflette una tensione ricorrente tra i mercati di prediction e le altre piattaforme onchain. I registri trasparenti spesso rendono labile il confine tra divulgazione e scoperta.
La posizione di Polymarket suggerisce che vede pochi rischi nel continuare a rendere pubbliche le attività di mercato. La loro risposta potrebbe influenzare il modo in cui le future scoperte sulla piattaforma verranno riportate.
