De acordo com uma postagem no X em 29 de abril feita pela Polymarket, a conta de segurança da rede Dark Web Informer acusa a plataforma de mercados de previsão descentralizada Polymarket de ter sido invadida; mais de 300.000 registros e um kit de exploração de vulnerabilidade foram vazados para fóruns de crimes na internet. A Polymarket, em seguida, negou no X, afirmando que todos os dados on-chain são públicos e auditáveis.
Resposta oficial da Polymarket
De acordo com um comunicado publicado pela Polymarket na plataforma X em 29 de abril de 2026, a plataforma afirma que todos os seus dados on-chain são públicos e auditáveis, que qualquer pessoa pode obter acesso gratuito por meio de uma API pública, sem necessidade de pagamento. A Polymarket classifica isso, no comunicado, como “uma funcionalidade e não um bug (a feature, not a bug)”.
A Polymarket também aponta que a plataforma tem um programa de recompensa por vulnerabilidades de 5 milhões de dólares, contrariando a alegação do atacante de que “a Polymarket não tem um programa de recompensa por vulnerabilidades”; e explica claramente que a ação de atacar endpoints da API pública não se enquadra nos critérios de solicitação de recompensa.
Conteúdo das acusações da Dark Web Informer e detalhes técnicos
De acordo com a postagem da Dark Web Informer na plataforma X em 29 de abril de 2026, o atacante “xorcat” afirma que, por meio de endpoints não divulgados, bypass de paginação e erros de configuração de CORS nas APIs Gamma e CLOB da Polymarket, concluiu a extração de dados em 27 de abril de 2026. Os dados de escala das acusações divulgadas pela Dark Web Informer são os seguintes:
· No total, mais de 300.000 registros; após a extração, cerca de 750 MB; após compactação, cerca de 8,3 MB
· Cerca de 10.000 registros de usuários únicos contendo informações de identificação pessoal completas (PII), cobrindo nome, pseudônimo, carteira de proxy e endereço básico
· 48.536 registros de mercado Gamma contendo metadados completos
· Mais de 250.000 registros de mercado CLOB ativos contendo endereços FPMM
A postagem da Dark Web Informer também lista as vulnerabilidades técnicas que o atacante afirma, incluindo CVE-2025-62718 (bypass do Axios NO_PROXY, nota CVSS 9,9), erro de configuração de CORS na API CLOB (origem de coringa com credentials=true) e múltiplos endpoints de API sem autenticação.
Contexto do programa de recompensa por vulnerabilidades da Polymarket
De acordo com a página oficial do programa de recompensa por vulnerabilidades da Polymarket, a plataforma tem um programa de recompensas de 5 milhões de dólares, aceitando reportes de vulnerabilidades via as plataformas Spearbit/Cantina; cobrindo vulnerabilidades de contratos inteligentes e de aplicações web. A gravidade é dividida em quatro níveis: grave, alta, média e baixa. De acordo com os termos do programa, a ação de atacar endpoints da API pública não está dentro do escopo de elegibilidade para recompensa.
Perguntas frequentes
Quando foi publicado o comunicado em que a Polymarket nega vazamento de dados? Qual é o argumento central?
De acordo com o comunicado da Polymarket na plataforma X em 29 de abril de 2026, a plataforma nega o vazamento de dados, afirmando que todos os dados on-chain sempre foram públicos e auditáveis, que podem ser obtidos gratuitamente por meio de uma API pública, e apontando que o ataque aos endpoints da API pública não atende aos critérios de elegibilidade para recompensa por vulnerabilidades.
Qual é o tamanho dos dados vazados alegados pela Dark Web Informer e qual é a data de extração dos dados?
De acordo com a postagem da Dark Web Informer na plataforma X em 29 de abril de 2026, o atacante alega que em 27 de abril de 2026 extraiu mais de 300.000 registros, incluindo cerca de 10.000 registros de usuários contendo informações de identificação pessoal completas (PII) e mais de 250.000 registros de mercado CLOB.
Qual é o tamanho do programa de recompensas por vulnerabilidades da Polymarket? Qual plataforma o gerencia?
De acordo com a página oficial do programa de recompensas por vulnerabilidades da Polymarket, o tamanho do programa é de 5 milhões de dólares, aceitando reportes de vulnerabilidades por meio das plataformas Spearbit/Cantina; a ação de atacar endpoints da API pública não está dentro do escopo de elegibilidade para recompensa.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
