Polymarket niega la reclamación de violación ‘xorcat’, dice que el conjunto de datos es una API pública y datos en la cadena
Un vendedor de la dark web alegó 300,000 registros y 10,000 perfiles de usuario, pero Polymarket calificó la reclamación de “completamente absurda.”
Polymarket está disputando la afirmación de un actor de la dark web de que se robaron más de 300,000 registros de la plataforma, argumentando que el conjunto de datos se compila a partir de puntos finales de API públicos y datos en cadena. La alegación no está verificada en el paquete, pero mantiene el riesgo de la plataforma y la exposición del usuario en el foco para los comerciantes del mercado de predicciones.
Puntos Clave
- Un usuario de DarkForums que usa el seudónimo “xorcat” afirmó estar vendiendo más de 300,000 registros de Polymarket, incluidos 10,000 perfiles de usuario únicos con campos identificativos.Polymarket rechazó la narrativa de la violación, llamándola “completamente absurda” y enmarcando el conjunto de datos como información accesible a través de puntos finales de API públicos y registros en cadena.La publicación alegó vectores específicos que involucraban puntos finales no documentados, eludir la paginación y una mala configuración de CORS relacionada con las API Gamma y CLOB de Polymarket, pero no se incluye ninguna validación independiente.
- Se describió a Polymarket como ejecutando un programa de recompensas por errores en vivo lanzado el 16 de abril con 446 informes hasta el miércoles, socavando la afirmación del actor de que no existía ninguna recompensa.Polymarket rechaza la afirmación de violación de ‘xorcat’ como un raspado de datos públicosPolymarket se opuso a una afirmación de “violación” de la dark web después de que circularan capturas de pantalla de una publicación de DarkForums de un vendedor que usaba el nombre de usuario “xorcat”. El actor afirmó haber violado Polymarket y robado más de 300,000 registros.
- La respuesta de Polymarket fue categórica. La plataforma calificó la afirmación de violación como “completamente absurda” y dijo que la información que se comercializa ya está disponible en línea a través de puntos finales de API accesibles públicamente y datos en cadena.Eso deja la historia, por ahora, como un concurso de credibilidad. El paquete contiene capturas de pantalla de la afirmación y la negación de Polymarket, pero no hay pruebas forenses de que se haya accedido a datos de clientes no públicos.Lo que alegó la publicación de DarkForums: 300,000 registros, 10,000 perfiles y vectores de mala configuración de API
- La publicación de DarkForums atribuida a “xorcat” describió un conjunto de datos de “más de 300,000 registros”, incluidos “10,000 perfiles de usuario únicos” con “nombres completos, imágenes de perfil, billeteras proxy y direcciones base.” El actor también afirmó que los datos se estaban publicando porque Polymarket no tenía un programa de recompensas por errores.
En el lado técnico, el actor alegó que los datos se extrajeron a través de “puntos finales de API no documentados, eludir la paginación y mala configuración de CORS” que afectaban las API Gamma y CLOB de Polymarket. Un punto final de API es la interfaz que un servicio expone para solicitudes de software. Una mala configuración de CORS es un error en la configuración de seguridad web que puede, en algunos casos, permitir que sitios web no autorizados accedan a datos de una API. Un CLOB, o libro de órdenes central, es un sistema de emparejamiento estilo intercambio para ofertas y demandas.
Ninguno de esos vectores está corroborado de manera independiente en el paquete. Los comerciantes deben tratar las afirmaciones del método como no verificadas hasta que un tercero las reproduzca o Polymarket confirme un problema específico.
Cronología de recompensas por errores y escepticismo de terceros del CSO de Legalblock
Un detalle va en contra del motivo declarado por el actor. Se describió a Polymarket como teniendo una recompensa por errores en vivo que comenzó el 16 de abril y había recibido 446 informes hasta el miércoles, contradiciendo la afirmación de que no existía ninguna recompensa.
Una lectura pública de un ejecutivo de seguridad también se inclina hacia “raspado/analizado” en lugar de “compromiso de base de datos”. Vladimir S, un investigador de amenazas y director de seguridad en Legalblock, dijo que parece “que alguien analizó datos y está tratando de presentarlo como una filtración de [DB]. No me parece probable.”
El propio enmarcado de Polymarket fue contundente y específico sobre la fuente de los datos: “¿Comprometiste nuestra plataforma accediendo a puntos finales de API accesibles públicamente y datos en cadena y estás tratando de vender los datos que ofrecemos a los desarrolladores de forma gratuita?
¿Qué VC te pagó para publicar esto?”Señales que los comerciantes deben monitorear si se publican más datos en los ‘próximos días’El riesgo inmediato del catalizador es si “xorcat” cumple con la afirmación de liberar más datos “en los próximos días”, y si alguna nueva publicación contiene campos no públicos más allá de lo que Polymarket dice que está disponible a través de API y registros en cadena.
Las próximas declaraciones de Polymarket también son importantes, especialmente cualquier aclaración sobre qué puntos finales y campos son intencionalmente públicos, y si la plataforma realiza cambios en la configuración de la API después de la alegación.La recompensa por errores es otra señal en vivo. Si se confirman y remedian informes relacionados con los vectores alegados (puntos finales no documentados, eludir la paginación, mala configuración de CORS), eso cambiaría la historia de un conflicto narrativo puro a un evento de seguridad concreto.Investigadores de seguridad independientes corroborando o disputando la interpretación de “datos públicos analizados” es el camino más limpio hacia la resolución.
Por qué ‘Público por Diseño’ aún crea exposición en el mundo real para los usuarios del mercado de predicciones
Los mercados de predicciones se encuentran en un mercado que ya está nervioso por los titulares de seguridad. Hacken informó pérdidas de $482 millones en Web3 en el primer trimestre de 2026 en 44 incidentes, y ese telón de fondo hace que incluso las afirmaciones de violación no verificadas sean comerciables como sentimiento.
No necesito una filtración de base de datos confirmada para ver el riesgo práctico: los sistemas “públicos por diseño” aún pueden concentrar migajas de identidad cuando las API, los perfiles y las direcciones en cadena se unen. El umbral que importa es si algún conjunto de datos liberado prueba el acceso a campos no públicos o puntos finales privilegiados.
Si esa línea se mantiene y los datos son realmente públicos, esto se parece más a un catalizador de sentimiento que a un cambio fundamental, pero aún presiona la opsec del usuario y la confianza en la plataforma de una manera que puede afectar la actividad y la liquidez donde cuenta.
Fuentes
Polymarket niega la violación de datos, dice que el hacker está vendiendo datos públicos
