Polymarket heeft berichten over een datalek ontkend nadat een dreigingsacteur met de naam xorcat 300.000 gegevens op een cybercrimeforum plaatste. De gedecentraliseerde voorspellingsmarkt zegt dat deze informatie openbaar beschikbaar is via hun API’s en on-chain geschiedenis.
Volgens het Dark Web Informer monitoringaccount heeft de dreigingsacteur gebruikersprofielen, opmerkingen, marktdata en exploitcode geëxtraheerd. Polymarket reageerde dat dit een functie is en geen kwetsbaarheid.
Polymarket gebruikersdata gelekt?
In het forumbericht werd een pakket van 750 MB aangeboden met ongeveer 10.000 gebruikersprofielen, 4.111 opmerkingen, 48.536 markten vanuit Polymarket’s Gamma API en meer dan 250.000 actieve markten van de CLOB API.
De actor voegde ook volgerslijsten, beloningsinstellingen en interne gebruikers-ID’s toe.
Buiten de ruwe data zou het pakket ook proof-of-concept exploits bevatten. Dit ging om een Axios proxy bypass bekend als CVE-2025-62718, een CORS-misconfiguratie op de CLOB API, een Next.js-middleware authenticatie-bypass en een pagineringsfout waardoor onbeperkt zoeken mogelijk was volgens de aanbieder.
Het bericht plaatste het lek als bewijs van gebrekkige toegangscontrole binnen Polymarket en stelde dat het platform geen bug bounty-programma heeft en nooit vooraf op de hoogte is gebracht.
Reactie van Polymarket
Polymarket reageerde al binnen enkele uren. In een verklaring op X zei het platform dat alle gegevens uit het forumbericht controleerbaar zijn op-chain of toegankelijk zijn via hun API-endpoints.
“Het mooie van on-chain werken is dat al onze data openbaar controleerbaar is… dit is een functie, geen bug. Er is geen data ‘gelekt’ – alles is bereikbaar via onze publieke endpoints & on-chain data.”
Het team voegde toe dat onderzoekers hier niet voor hoeven te betalen aan forumverkopers. Die informatie is al gratis door het protocol gedeeld. Gebruikers konden via de API-documentatie alle info zelf vinden.
Beperkingen bug bounty
Polymarket weerlegde ook dat er geen bug bounty zou zijn. Het platform wees op zijn programma van $5 miljoen bij Cantina, en verduidelijkte dat het scannen van publieke API’s niet in aanmerking komt voor beloning.
Bugs die in aanmerking komen zijn alleen gevalideerde kwetsbaarheden met impact op fondsen, contracten of privégebruikersdata.
Dit meningsverschil laat een bekend spanningsveld zien binnen voorspellingsmarkten en andere on-chain platforms. Transparante boekhoudingen zorgen vaak voor onduidelijkheid tussen openbaarmaking en ontdekking.
Het standpunt van Polymarket laat zien dat het weinig risico ziet in het openbaar tonen van marktactiviteit. De manier van reageren kan invloed hebben op hoe in de toekomst over bevindingen rond dit platform wordt gerapporteerd.
