Polymarket ได้ปฏิเสธข้อกล่าวหาเรื่องข้อมูลรั่วไหล หลังจากผู้ที่ใช้ชื่อว่า xorcat ได้โพสต์ข้อมูลจำนวน 300,000 ระเบียนบนฟอรั่มอาชญากรรมไซเบอร์ โดยตลาดทำนายแบบกระจายศูนย์แห่งนี้กล่าวว่าข้อมูลดังกล่าวเข้าถึงได้โดยสาธารณะผ่าน API ของตนและประวัติบนเชน
ผู้ที่ถูกตรวจพบบนบัญชีติดตามข่าวสารในดาร์กเว็บอ้างว่าได้ดึงโปรไฟล์ผู้ใช้ ความคิดเห็น ข้อมูลตลาด และโค้ดสำหรับการโจมตีออกมา Polymarket ได้ตอบโต้โดยระบุว่าการเปิดเผยนี้เป็นคุณสมบัติ ไม่ใช่ช่องโหว่
ข้อมูลผู้ใช้ Polymarket รั่วไหล?
โพสต์บนฟอรั่มดังกล่าวได้โฆษณาชุดข้อมูลขนาด 750 MB ซึ่งมีโปรไฟล์ผู้ใช้ประมาณ 10,000 รายการ ความคิดเห็น 4,111 รายการ ตลาด 48,536 แห่งจาก Gamma API ของ Polymarket และตลาดที่มีการใช้งานมากกว่า 250,000 แห่งจาก CLOB API ของแพลตฟอร์มนี้
ผู้โจมตียังได้ใส่รายชื่อผู้ติดตาม การตั้งค่ารางวัล และรหัสระบุผู้ใช้ภายในไว้ด้วย
นอกจากนี้ ในชุดข้อมูลดังกล่าวยังมีตัวอย่างช่องโหว่ที่ใช้งานได้จริง เช่น การข้าม Proxy ของ Axios ที่ติดตามในชื่อ CVE-2025-62718 การตั้งค่า CORS ที่ผิดพลาดใน CLOB API ช่องโหว่การยืนยันตัวตนของ Next.js middleware และข้อบกพร่องของการแบ่งหน้า ซึ่งผู้ขายกล่าวว่าสามารถรองรับการ query ขนาดไม่จำกัด
โพสต์นี้ได้นำเสนอข้อมูลเหล่านี้เสมือนเป็นหลักฐานถึงปัญหาการควบคุมการเข้าถึงที่ Polymarket และยังอ้างว่าแพลตฟอร์มไม่มีโปรแกรม bug bounty และไม่เคยได้รับการแจ้งเตือนก่อนที่จะเผยแพร่ข้อมูลนี้
การตอบโต้ของ Polymarket
Polymarket ได้ออกมาชี้แจงภายในไม่กี่ชั่วโมง โดยในแถลงการณ์บน X ทางแพลตฟอร์มยืนยันว่าข้อมูลที่ถูกกล่าวหาในโพสต์สามารถตรวจสอบได้ใน on-chain หรือเข้าถึงได้ผ่าน endpoint ที่มีเอกสารอย่างชัดเจนอยู่แล้ว
หนึ่งในจุดเด่นของการอยู่บน on-chain คือข้อมูลของเราทั้งหมดสามารถตรวจสอบได้โดยสาธารณะ… นี่คือคุณสมบัติ ไม่ใช่ข้อบกพร่อง ไม่มีข้อมูลใดที่รั่วไหล — ทุกคนเข้าถึงได้ผ่าน endpoint สาธารณะของเราและข้อมูลบนเชน
ทีมงานยังเสริมว่านักวิจัยไม่จำเป็นต้องจ่ายเงินให้กับผู้ขายในฟอรั่มนี้ เพราะข้อมูลเหล่านี้โปรโตคอลของเราเผยแพร่ฟรีอยู่แล้ว ทั้งยังแนะนำให้ผู้ใช้ดูเอกสาร API ของตนเองอีกด้วย
ขอบเขตของโปรแกรม Bug Bounty
Polymarket ยังได้โต้แย้งข้อกล่าวหาว่าไม่มีโปรแกรม bug bounty ด้วยการเน้นย้ำว่าแพลตฟอร์มมีโปรแกรมร่วมกับ Cantina มูลค่า 5 ล้าน USD พร้อมทั้งชี้แจงว่าการสกัดข้อมูล endpoint สาธารณะไม่ได้รับรางวัลใด ๆ
การส่งรายงานที่เข้าเงื่อนไขจะต้องเป็นช่องโหว่ที่ได้รับการยืนยันว่ามีผลกระทบต่อเงินทุน สัญญา หรือข้อมูลส่วนตัวของผู้ใช้เท่านั้น
ข้อพิพาทดังกล่าวสะท้อนถึงความตึงเครียดที่เกิดซ้ำระหว่างตลาดทำนายและแพลตฟอร์ม onchain อื่น ๆ ซึ่งบัญชีแยกประเภทที่โปร่งใสมักทำให้เส้นแบ่งระหว่างการเปิดเผยข้อบกพร่องและการค้นพบข้อมูลมีความไม่ชัดเจน
ท่าทีของ Polymarket แสดงให้เห็นว่าทีมงานมองว่าความเสี่ยงในการเปิดเผยกิจกรรมตลาดต่อไปยังคงมีน้อย ซึ่งการตอบสนองนี้อาจกำหนดแนวทางการรายงานข้อค้นพบใหม่ ๆ ที่เกี่ยวข้องกับแพลตฟอร์มในอนาคต
