AI News CryptoTRADE THE NEWS
A dimly lit office with a desk, computer, and
Crypto
Web3

Polymarket rejette la violation 'xorcat', données publiques

Un vendeur du dark web a allégué 300 000 enregistrements et 10 000 profils d'utilisateurs, mais Polymarket a qualifié cette affirmation de « complètement absurde ».

Par AI News Crypto Editorial Team5 min de lecture

Polymarket conteste la revendication d'un acteur du dark web selon laquelle plus de 300 000 enregistrements de la plateforme auraient été volés, arguant que l'ensemble de données est compilé à partir de points de terminaison API publics et de données on-chain.

L'allégation n'est pas vérifiée dans le paquet, mais elle maintient le risque de la plateforme et l'exposition des utilisateurs au centre des préoccupations pour les traders de marchés de prédiction.

Points clés

  • Un utilisateur de DarkForums utilisant le pseudonyme « xorcat » a affirmé vendre plus de 300 000 enregistrements de Polymarket, y compris 10 000 profils d'utilisateurs uniques avec des champs d'identification.
  • Polymarket a rejeté le récit de la violation, le qualifiant de « complètement et totalement absurde » et présentant l'ensemble de données comme une information accessible via des points de terminaison publicsAPIet des enregistrements on-chain.
  • Le post alléguait des vecteurs spécifiques impliquant des points de terminaison non documentés, un contournement de la pagination et une mauvaise configuration CORS liée aux API Gamma et CLOB de Polymarket, mais aucune validation indépendante n'est incluse.
  • Polymarket a été décrit comme exécutant un programme de récompense pour les bugs en direct lancé le 16 avril avec 446 rapports à partir de mercredi, contrecarrant la revendication de l'acteur selon laquelle aucune récompense n'existait.

Polymarket rejette la revendication de violation de « xorcat » comme étant une extraction de données publiques

Polymarket a réagi à une revendication de « violation » du dark web après que des captures d'écran d'un post de DarkForums d'un vendeur utilisant le pseudo « xorcat » ont circulé. L'acteur a affirmé avoir violé Polymarket et volé plus de 300 000 enregistrements.

La réponse de Polymarket a été catégorique. La plateforme a qualifié la réclamation de violation de "nonsense complet et total" et a déclaré que les informations commercialisées sont déjà disponibles en ligne via des points de terminaison API accessibles au public et des données on-chain.

Cela laisse l'histoire, pour l'instant, comme un concours de crédibilité. Le paquet contient des captures d'écran de la réclamation et du déni de Polymarket, mais aucune preuve d'expertise que des données clients non publiques ont été accessibles.

Ce que le post DarkForums a allégué : 300 000 enregistrements, 10 000 profils et vecteurs de mauvaise configuration d'API.

Le post DarkForums attribué à "xorcat" décrivait un ensemble de données de "plus de 300 000 enregistrements", y compris "10 000 profils d'utilisateurs uniques" avec "noms complets, images de profil, portefeuilles proxy et adresses de base." L'acteur a également affirmé que les données étaient publiées parce que Polymarket n'avait pas de programme de récompense pour les bugs.

Du côté technique, l'acteur a allégué que les données avaient été extraites via "des points de terminaison API non documentés, un contournement de la pagination et une mauvaise configuration de CORS" affectant les API Gamma et CLOB de Polymarket. Un point de terminaison API est l'interface qu'un service expose pour les demandes logicielles.

Une mauvaise configuration de CORS est une erreur de paramètres de sécurité web qui peut, dans certains cas, permettre à des sites web non autorisés d'accéder aux données d'une API. Un CLOB, ou livre d'ordres à limite centrale, est un système de correspondance de style bourse pour les offres et les demandes.

Aucun de ces vecteurs n'est corroboré de manière indépendante dans le paquet. Les traders devraient traiter les affirmations sur la méthode comme non vérifiées jusqu'à ce qu'un tiers les reproduise ou que Polymarket confirme un problème spécifique.

Chronologie de la récompense pour les bugs et scepticisme des tiers du CSO de Legalblock.

Un détail va à l'encontre de la motivation déclarée de l'acteur. Polymarket a été décrit comme ayant une récompense pour les bugs en cours qui a commencé le 16 avril et avait reçu 446 rapports mercredi, contredisant l'affirmation qu'aucune récompense n'existait.

Une lecture publique d'un cadre de sécurité penche également vers "extrait/analysé" plutôt que "compromis de base de données". Vladimir S, un chercheur en menaces et directeur de la sécurité chez Legalblock, a déclaré qu'il semble "que quelqu'un ait analysé des données et essaie de les présenter comme une fuite de [DB]. Cela ne me semble pas probable."

Le propre cadre de Polymarket était franc et spécifique sur la source des données : "Vous avez compromis notre plateforme en accédant à des points de terminaison API accessibles au public et à des données on-chain etvérifie les notesessaient de vendre les données que nous offrons gratuitement aux développeurs ? Quel VC vous a payé pour publier cela ?

Signaux que les traders devraient surveiller si plus de données sont publiées dans les ‘prochains jours’

Le risque immédiat du catalyseur est de savoir si “xorcat” respecte sa promesse de publier plus de données “dans les prochains jours”, et si de nouvelles publications contiennent des champs non publics au-delà de ce que Polymarket dit être disponible via les API et les enregistrements on-chain.

Les prochaines déclarations de Polymarket comptent aussi, surtout toute clarification sur quels points de terminaison et champs sont intentionnellement publics, et si la plateforme apporte des modifications à la configuration de l'API après l'allégation.

La prime de bug est un autre signal en direct. Si des rapports liés aux vecteurs présumés (points de terminaison non documentés, contournement de la pagination, mauvaise configuration de CORS) sont confirmés et corrigés, cela ferait passer l'histoire d'un simple conflit narratif à un événement de sécurité concret.

Des chercheurs en sécurité indépendants corroborant ou contestant l'interprétation des “données publiques analysées” est le chemin le plus clair vers une résolution.

Pourquoi ‘Public par Design’ crée encore une exposition réelle pour les utilisateurs de marchés de prédiction

Les marchés de prédiction se trouvent dans un marché déjà nerveux à propos des gros titres de sécurité. Hacken a rapporté 482 millions de dollars de pertes en Web3 au premier trimestre 2026 à travers 44 incidents, et ce contexte rend même les allégations de violation non vérifiées négociables en tant que sentiment.

Je n'ai pas besoin d'une fuite de base de données confirmée pour voir le risque pratique : les systèmes “public par design” peuvent toujours concentrer des traces d'identité lorsque les API, les profils et les adresses on-chain sont assemblés. Le seuil qui compte est de savoir si un ensemble de données publié prouve l'accès à des champs non publics ou à des points de terminaison privilégiés.

Si cette ligne est maintenue et que les données sont vraiment publiques, cela ressemble plus à un catalyseur de sentiment qu'à un changement fondamental, mais cela met toujours la pression sur l'opsec des utilisateurs et la confiance dans la plateforme d'une manière qui peut affecter l'activité et la liquidité là où cela compte.

Sources