ダークウェブがPolymarketのハッキングを主張、しかしプラットフォーム側は反論

📄原文全文· trafilatura により自動抽出Gemini 翻譯2523 文字

Polymarketは、xorcatと名乗る脅威アクターがサイバー犯罪フォーラムに30万件のレコードを投稿したことを受け、データ侵害の主張を否定した。この分散型予測市場は、当該情報は同社のAPIおよびオンチェーン履歴を通じて公開されているものだと述べた。 Dark Web Informerの監視アカウントによって明らかにされたこのアクターは、ユーザープロファイル、コメント、市場データ、およびエクスプロイトコードを抽出したと主張した。Polymarketはこれに対し、この開示は脆弱性ではなく機能であると回答した。 Polymarketのユーザーデータが流出？フォーラムの投稿では、約1万件のユーザープロファイル、4,111件のコメント、PolymarketのGamma APIからの48,536件の市場データ、およびCLOB APIからの25万件以上の有効な市場データを含む750MBのパックが宣伝されていた。このアクターは、フォロワーリスト、報酬設定、および内部ユーザー識別子も含まれているとした。生のデータに加え、このパッケージには概念実証（PoC）のエクスプロイトが含まれていたとされる。これには、CVE-2025-62718として追跡されているAxiosプロキシバイパス、CLOB API上のCORS設定ミス、Next.jsミドルウェアの認証バイパス、および販売者が無制限のクエリサイズを受け入れると主張したページネーションの欠陥が含まれていた。この投稿は、今回のデータダンプをPolymarket全体におけるアクセス制御の不備の証拠であると位置づけ、同プラットフォームにはバグ報奨金プログラムが存在せず、公開前に通知もなかったと主張した。 Polymarketの回答 Polymarketは数時間以内に反論した。Xでの声明において、同プラットフォームは投稿で指摘されたすべてのデータはオンチェーンで監査可能であり、文書化されたエンドポイントを通じてアクセス可能であると述べた。「オンチェーンであることの利点の一つは、すべてのデータが公開され監査可能であることです。これはバグではなく機能です。データは『流出』したわけではなく、当社のパブリックエンドポイントとオンチェーンデータを通じてアクセス可能なものです」チームは、研究者がこれのためにフォーラムの販売者に金を払う必要はないと付け加えた。情報はすでにプロトコルによって無料で公開されている。チームはユーザーに対し、APIドキュメントを参照するよう促した。バグ報奨金の制限 Polymarketはまた、バグ報奨金が存在しないという主張にも反論した。同プラットフォームはCantinaでホストされている500万ドルのプログラムを強調しつつ、パブリックAPIエンドポイントのスクレイピングは報酬の対象外であることを明確にした。対象となる提出物は、資金、コントラクト、または非公開のユーザーデータに影響を与える検証済みの脆弱性に限られる。この論争は、予測市場やその他のオンチェーンプラットフォーム全体で繰り返される緊張関係を反映している。透明性の高い台帳は、開示と発見の境界線を曖昧にすることが多い。 Polymarketの姿勢は、市場活動を公開し続けることにほとんどリスクを感じていないことを示唆している。この回答は、今後同プラットフォームに関する調査結果がどのように報告されるかに影響を与える可能性がある。

データステータス✓ 全文抽出済み原文を読む（BeInCrypto）

🔍過去の類似イベント· キーワード + 銘柄照合6 件

2026-04-18

イランがタンカーを攻撃した後、PolymarketのStrait of Hormuzに関するオッズが急落

類似度 130%關鍵字 polymarket/fires

2026-04-29

DeFiが2億9200万ドルのハッキングで揺れるも回復力を見せているとStandard Charteredが指摘

類似度 120%關鍵字 hack同分類 hot

2026-04-29

Polymarket がハッカー xorcat に侵入され、30 万件の記録と脆弱性ツールがすべて流出。プラットフォーム側の回答：「もともと公開するように設計されていた」

類似度 120%關鍵字 polymarket同分類 hot

2026-04-28