Polymarket деректердің заңсыз жариялануы туралы мәлімдемелерге жауап қатты, өйткені xorcat лақап атымен белгілі киберқылмыскер киберқылмыс форумында 300 000 жазба жариялады. Орталықтандырылмаған болжау нарығы бұл ақпарат өзінің API-лары және он-чейн тарихы арқылы ашық қолжетімді екенін айтты.
Dark Web Informer бақылау аккаунты арқылы анықталған киберқылмыскер пайдаланушы профайлдарын, пікірлерді, нарық деректерін және эксплойт кодын алғанын айтты. Polymarket болса, бұл жарияланымды осалдық емес, системаның ерекшелігі деп сипаттады.
Polymarket пайдаланушыларының деректері жария болды ма?
Форумдағы постта шамамен 10 000 пайдаланушы профилі, 4 111 пікір, Polymarket-тің Gamma API-сы арқылы алынған 48 536 нарық және CLOB API-сы арқылы 250 000-нан астам белсенді нарық қамтылған 750 МБ топтама жарияланған.
Сондай-ақ, бұл топтамада бақылаушылар тізімі, сыйақы параметрлері және ішкі пайдаланушы идентификаторлары бар.
Шикі деректерден бөлек, пакеттің құрамына proof-of-concept эксплойттары енгізілген. Олардың қатарында CVE-2025-62718 ретінде тіркелген Axios проксиін айналып өту, CLOB API-да CORS дұрыс бапталмауы, Next.js middleware аутентификациясын айналып өту және форумдағы сатушы шексіз сұраныс көлемін қабылдайтын қате деп атаған беттеу кемшілігі бар.
Пост Polymarket-те қатынасты басқару дұрыс жұмыс істемейтінін дәлелдейді деп көрсетіп, платформада баг-баунти бағдарламасы жоқ екенін және жариялау алдында ескертілмегенін атап өтті.
Polymarket-тің жауабы
Polymarket бірнеше сағат ішінде жауап берді. X желісіндегі мәлімдемеде платформа постта көрсетілген деректердің барлығы он-чейн немесе ресми құжатталған эндпойнттар арқылы қолжетімді екенін айтты.
«On-chain-да болудың тамашалығының бірі — барлық деректеріміз көпшілікке толық ашық әрі тексеруге болады… бұл — жүйенің ерекшелігі, қате емес. Ешқандай дерек ‹жарияланған› жоқ: олардың бәрі ашық эндпойнттар және он-чейн деректер арқылы қолжетімді»
Команда зерттеушілерге бұл үшін форум сатушысына ақы төлеудің қажеті жоқ екенін, ақпараттың протокол арқылы тегін қолжетімді екенін және қолданушыларды API құжаттамасын пайдалануға шақыратынын айтты.
Bug Bounty шектеулері
Polymarket баг-баунти мүлде жоқ деген мәлімдемеге де қарсы шықты. Платформа Cantina-мен бірге жүргізіліп отырған 5 млн доллар көлеміндегі бағдарламасын көрсетіп, сонымен бірге ашық API-эндпойнттарды жәй ғана жинақтау марапатқа жатпайтынын түсіндірді.
Марапатқа жарамды ұсыныстар тек қаражатты, келісімшарттарды немесе жеке пайдаланушы деректерін әсерлейтін расталған осалдықтарды қамтиды.
Бұл дау болжау нарықтарында және басқа ончейн платформаларда жиі қайталанатын шиеленісті көрсетеді. Айқын реестр шынайы жария ету мен деректі зерттеу арасындағы шекараны шайып жібереді.
Polymarket-тің көзқарасы платформадағы нарық белсенділігін ашық жариялауды жалғастыруда тәуекел мардымсыз деп есептейтінін аңғартады. Бұл ұстаным болашақтағы платформаның әлеуетті осалдықтары жайлы хабарласу тәсіліне әсер етіп қалыптастыруы ықтимал.
