Itinanggi ng Polymarket na may naganap na data breach matapos maglabas si xorcat, isang threat actor, ng 300,000 records sa isang cybercrime forum. Sabi ng decentralized prediction market, lahat ng inilabas na impormasyon ay publicly available na sa kanilang APIs at on-chain history — ibig sabihin kitang-kita ng kahit sino ang mga data na ‘to.
Pinag-usapan si xorcat ng Dark Web Informer monitoring account, na nagsabing nakuha raw niya ang user profiles, comments, market data, at exploit code ng Polymarket. Sagot naman ng Polymarket, feature raw talaga ito ng platform at hindi ito issue o vulnerability.
Polymarket User Data Leaked?
Ang forum post ay nag-advertise ng 750 MB pack na may nasa 10,000 user profiles, 4,111 comments, 48,536 markets mula sa Gamma API ng Polymarket, at higit 250,000 active markets pa mula sa CLOB API nila.
Kasama rin sa package na ‘yon ang mga follower list, reward settings, at internal user IDs.
‘Di lang raw basta data ang package, dahil may bundled na proof-of-concept exploits pa. Kasama dito ang Axios proxy bypass na may code CVE-2025-62718, CORS misconfiguration sa CLOB API, Next.js middleware authentication bypass, at isang pagination flaw na, ayon sa nagbenta, tumatanggap ng unlimited query sizes.
Sinasabi sa post na ang pag-leak ng data na ito ay patunay raw na may mali sa access controls ng Polymarket. Pinunto din dito na wala raw bug bounty program ang platform at hindi man lang nasabihan ang Polymarket bago nila i-release ang info sa publiko.
Polymarket’s Response
Mabilis na naglabas ng sagot ang Polymarket. Sa isang post nila sa X, nilinaw ng platform na lahat ng data na tinutukoy sa leak ay puwede lang naman i-audit on-chain o ma-access sa mga public endpoints nila.
“Isa sa maganda sa pagiging on-chain, lahat ng data namin ay puwedeng i-check ng kahit sino… feature ‘to, hindi bug. Walang ‘leaked’ data — lahat ito ay naka-public sa endpoints at on-chain.”
Idinagdag ng team na wala dapat magbayad sa forum seller para sa info na ‘to, kasi matagal nang libre at open sa protocol ang lahat ng iyan. Tinuro pa nila ang users sa API documentation nila kung gusto mag-check ng data.
Bug Bounty Limits
Sinagot din ng Polymarket yung claim na wala raw silang bug bounty. Humabol sila na meron silang $5 million program kasama ang Cantina, pero nilinaw na ang simpleng pag-scrape ng public API endpoints ay hindi sakop ng anumang reward.
Puwede lang maging eligible ang reports kung verified vulnerability na pwedeng makaapekto sa funds, smart contracts, o private user data.
Itong sigalot na ‘to, kapareho ng mga kaparehong drama sa prediction markets at iba pang on-chain platforms. Sa sobrang transparent ng blockchain, minsan nagkakaroon ng kalituhan kung talagang “leak” ba o regular lang na open info.
Klaro sa Polymarket na naniniwala silang walang matinding risk na ipakita sa publiko ang market activity nila. Posibleng magbago ang reporting style ng future findings tentang platform depende sa ganitong approach nila.
