De acordo com um post na X da Polymarket a 29 de abril, a conta de cibersegurança Dark Web Informer acusou a plataforma de previsão descentralizada Polymarket de ter sido invadida, com mais de 300.000 registos e um conjunto de exploração de vulnerabilidades divulgados num fórum de crimes informáticos; a Polymarket, de imediato, negou na X, afirmando que todos os dados on-chain são públicos e auditáveis.
Resposta oficial da Polymarket
De acordo com uma declaração publicada pela Polymarket a 29 de abril de 2026 na plataforma X, a empresa indica que todos os seus dados on-chain são públicos e auditáveis; qualquer pessoa pode aceder gratuitamente através de uma API pública, sem necessidade de pagamento. Na declaração, a Polymarket classifica isto como «funcionalidade e não bug (a feature, not a bug)».
A Polymarket também salienta que existe um plano de recompensas por vulnerabilidades de 5 milhões de dólares na plataforma, o que contradiz a afirmação do atacante de que «a Polymarket não tem plano de recompensas por vulnerabilidades»; e explica de forma explícita que a conduta de atacar endpoints de API pública não cumpre os requisitos para reclamar a recompensa.
Acusações e detalhes técnicos da Dark Web Informer
De acordo com um post da Dark Web Informer a 29 de abril de 2026 na plataforma X, o atacante «xorcat» afirma que conseguiu extrair dados a 27 de abril de 2026, contornando endpoints não públicos na Gamma e na CLOB API da Polymarket, usando paginação e erros de configuração de CORS. Os dados de escala das acusações divulgadas pela Dark Web Informer são os seguintes:
· No total, mais de 300.000 registos; após a extração, cerca de 750 MB; após compressão, cerca de 8,3 MB
· Cerca de 10.000 registos de utilizadores únicos contendo informações de identificação pessoal (PII) completas, cobrindo nome, pseudónimo, carteiras proxy e endereços base
· 48.536 registos de mercados Gamma contendo metadados completos
· Mais de 250.000 registos de mercados CLOB ativos com endereços FPMM
O post da Dark Web Informer lista ainda, em simultâneo, as vulnerabilidades técnicas que o atacante diz ter encontrado, incluindo CVE-2025-62718 (bypass do Axios NO_PROXY, com avaliação CVSS 9,9), erro de configuração CORS da CLOB API (origem com wildcard + credentials=true) e múltiplos endpoints de API não autenticados.
Contexto do plano de recompensas por vulnerabilidades da Polymarket
De acordo com a página oficial do plano de recompensas por vulnerabilidades da Polymarket, a plataforma tem um plano de recompensas por vulnerabilidades de 5 milhões de dólares, aceitando comunicações de vulnerabilidades através da plataforma Spearbit/Cantina, cobrindo vulnerabilidades em contratos inteligentes e em aplicações Web, com severidades divididas em quatro níveis: crítico, alto, médio e baixo. De acordo com os termos do plano, a conduta de atacar endpoints de API pública não está incluída no âmbito de elegibilidade para recompensas.
Perguntas frequentes
Quando foi publicada a declaração da Polymarket que nega a fuga de dados? Qual é o argumento central?
De acordo com a declaração da Polymarket a 29 de abril de 2026 na plataforma X, a plataforma nega a fuga de dados, afirmando que todos os dados on-chain são, por natureza, públicos e auditáveis, que podem ser acedidos gratuitamente via API pública, e que o ataque aos endpoints de API pública não cumpre os requisitos para recompensas por vulnerabilidades.
Qual é a escala dos dados alegadamente divulgados pela Dark Web Informer e qual é a data de extração?
De acordo com o post da Dark Web Informer a 29 de abril de 2026 na plataforma X, o atacante afirma que extraiu mais de 300.000 registos a 27 de abril de 2026, incluindo cerca de 10.000 registos de utilizadores com informações de identificação pessoal (PII) completas e mais de 250.000 registos de mercados CLOB.
Qual é a dimensão do plano de recompensas por vulnerabilidades da Polymarket e por qual plataforma é gerido?
De acordo com a página oficial do plano de recompensas por vulnerabilidades da Polymarket, a dimensão do plano é de 5 milhões de dólares, sendo que as comunicações de vulnerabilidades são aceites através da plataforma Spearbit/Cantina; a conduta de atacar endpoints de API pública não está incluída no âmbito de elegibilidade para recompensas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
