Polymarket membantah tuduhan kebocoran catatan sebanyak 300.000 entri, dan menyatakan bahwa data API bersifat publik serta dapat diaudit

Berdasarkan unggahan X dari Polymarket pada 29 April, akun keamanan siber Dark Web Informer menuduh platform pasar prediksi terdesentralisasi Polymarket telah diretas, dengan lebih dari 300.000 catatan dan sebuah paket alat eksploitasi yang dibocorkan ke forum kejahatan siber; Polymarket segera membantah di X, menyatakan semua data on-chain bersifat publik dan dapat diaudit.

Tanggapan Resmi Polymarket

Berdasarkan pernyataan yang dirilis Polymarket pada 29 April 2026 di platform X, platform tersebut menyatakan bahwa semua data on-chain-nya bersifat publik dan dapat diaudit, dan siapa pun dapat mengaksesnya secara gratis melalui API publik, tanpa biaya. Dalam pernyataannya, Polymarket mengategorikannya sebagai “fitur, bukan bug (a feature, not a bug)”.

Polymarket juga menunjukkan bahwa platform memiliki program hadiah kerentanan sebesar 5 juta dolar AS, yang bertentangan dengan klaim penyerang bahwa “Polymarket tidak memiliki program hadiah kerentanan”; serta menjelaskan secara tegas bahwa tindakan menyerang endpoint API publik tidak memenuhi syarat untuk klaim hadiah.

Isi Tuduhan Dark Web Informer dan Detail Teknis

Berdasarkan posting Dark Web Informer pada 29 April 2026 di platform X, penyerang “xorcat” mengklaim telah menyelesaikan ekstraksi data pada 27 April 2026 melalui endpoint yang tidak dipublikasikan, bypass melalui paginasi, dan kesalahan konfigurasi CORS pada API Gamma dan CLOB Polymarket. Ukuran data yang dituduhkan yang diungkapkan oleh Dark Web Informer adalah sebagai berikut:

· Total lebih dari 300.000 catatan, sekitar 750 MB setelah diekstrak, sekitar 8,3 MB setelah dikompresi

· Sekitar 10.000 catatan pengguna unik yang berisi informasi identitas pribadi lengkap (PII), mencakup nama, nama samaran, dompet proxy, dan alamat dasar

· 48.536 catatan pasar Gamma yang berisi metadata lengkap

· Lebih dari 250.000 catatan pasar CLOB aktif yang berisi alamat FPMM

Posting Dark Web Informer juga mencantumkan kerentanan teknis yang diklaim oleh penyerang, termasuk CVE-2025-62718 (bypass Axios NO_PROXY, skor CVSS 9,9), kesalahan konfigurasi CORS pada CLOB API (asal wildcard dengan credentials=true), serta beberapa endpoint API tanpa autentikasi.

Latar Belakang Program Hadiah Kerentanan Polymarket

Berdasarkan halaman resmi program hadiah kerentanan Polymarket, platform memiliki program hadiah kerentanan sebesar 5 juta dolar AS, yang menerima laporan kerentanan melalui platform Spearbit/Cantina, mencakup kerentanan pada smart contract dan aplikasi web, dengan tingkat keparahan dibagi menjadi empat level: kritis, tinggi, sedang, dan rendah. Berdasarkan ketentuan program, tindakan menyerang endpoint API publik tidak termasuk dalam cakupan kelayakan hadiah.

FAQ

Kapan pernyataan penyangkalan kebocoran data Polymarket dipublikasikan? Apa argumen utamanya?

Berdasarkan pernyataan Polymarket pada 29 April 2026 di platform X, platform tersebut membantah kebocoran data, menyatakan bahwa semua data on-chain pada dasarnya adalah publik dan dapat diaudit, dapat diakses melalui API publik secara gratis, serta menunjukkan bahwa tindakan menyerang endpoint API publik tidak memenuhi syarat untuk hadiah kerentanan.

Berapa skala data yang diklaim bocor oleh Dark Web Informer dan kapan tanggal ekstraksi datanya?

Berdasarkan posting Dark Web Informer pada 29 April 2026 di platform X, penyerang mengklaim telah mengekstrak lebih dari 300.000 catatan pada 27 April 2026, termasuk sekitar 10.000 catatan pengguna yang berisi informasi identitas pribadi lengkap (PII) dan lebih dari 250.000 catatan pasar CLOB.

Seberapa besar skema hadiah kerentanan Polymarket? Dikelola oleh platform apa?

Berdasarkan halaman resmi program hadiah kerentanan Polymarket, ukuran programnya adalah 5 juta dolar AS, dan menerima laporan kerentanan melalui platform Spearbit/Cantina; tindakan menyerang endpoint API publik tidak termasuk dalam cakupan kelayakan hadiah.