다크웹이 Polymarket 해킹을 주장했으나, 해당 플랫폼은 반박했다

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯2523 자

Polymarket은 xorcat이라는 위협 행위자가 사이버 범죄 포럼에 300,000개의 기록을 게시한 후 데이터 유출 주장을 일축했습니다. 이 탈중앙화 예측 시장은 해당 정보가 API와 온체인 기록을 통해 공개적으로 접근 가능한 데이터라고 밝혔습니다. Dark Web Informer 모니터링 계정을 통해 드러난 이 행위자는 사용자 프로필, 댓글, 시장 데이터 및 익스플로잇 코드를 추출했다고 주장했습니다. Polymarket은 이에 대해 이번 공개가 취약점이 아닌 기능의 일부라고 대응했습니다. Polymarket 사용자 데이터 유출? 해외 포럼 게시물은 약 10,000개의 사용자 프로필, 4,111개의 댓글, Polymarket의 Gamma API에서 가져온 48,536개의 시장 데이터, 그리고 CLOB API에서 가져온 250,000개 이상의 활성 시장 데이터가 포함된 750MB 분량의 패키지를 광고했습니다. 해당 행위자는 팔로워 목록, 보상 구성 및 내부 사용자 식별자도 포함했습니다. 원시 데이터 외에도 이 패키지에는 개념 증명(PoC) 익스플로잇이 포함된 것으로 알려졌습니다. 여기에는 CVE-2025-62718로 추적되는 Axios 프록시 우회, CLOB API의 CORS 설정 오류, Next.js 미들웨어 인증 우회, 그리고 판매자가 무제한 쿼리 크기를 허용한다고 주장한 페이지네이션 결함이 포함되었습니다. 해당 게시물은 이번 데이터 덤프를 Polymarket 전반의 접근 제어 결함에 대한 증거로 규정하며, 플랫폼에 버그 바운티 프로그램이 없으며 게시 전 어떠한 통지도 받지 못했다고 주장했습니다. Polymarket의 대응 Polymarket은 몇 시간 만에 반박했습니다. 플랫폼은 X를 통해 게시물에서 지적된 모든 데이터는 온체인에서 감사 가능하거나 문서화된 엔드포인트를 통해 접근할 수 있다고 밝혔습니다. "온체인의 장점 중 하나는 모든 데이터가 공개적으로 감사 가능하다는 점입니다. 이는 버그가 아니라 기능입니다. 데이터가 '유출'된 것이 아니라, 공개 엔드포인트와 온체인 데이터를 통해 접근할 수 있는 것입니다." 팀은 연구자들이 이를 위해 포럼 판매자에게 비용을 지불할 필요가 없으며, 해당 정보는 이미 프로토콜에 의해 무료로 공개되어 있다고 덧붙였습니다. 팀은 사용자들에게 API 문서를 참조할 것을 안내했습니다. 버그 바운티 제한 Polymarket은 버그 바운티가 존재하지 않는다는 주장도 반박했습니다. 플랫폼은 Cantina와 함께 운영 중인 500만 달러 규모의 프로그램을 강조하며, 공개 API 엔드포인트를 스크래핑하는 것은 보상 대상이 아니라고 명확히 했습니다. 보상 대상이 되는 제출물은 자금, 계약 또는 개인 사용자 데이터에 영향을 미치는 검증된 취약점입니다. 이번 논란은 예측 시장과 기타 온체인 플랫폼 전반에서 반복되는 긴장 관계를 반영합니다. 투명한 원장은 종종 공개와 발견 사이의 경계를 모호하게 만듭니다. Polymarket의 입장은 시장 활동을 계속 노출하는 데 위험이 거의 없다고 판단하고 있음을 시사합니다. 이번 대응은 향후 플랫폼과 관련된 발견 사항들이 보고되는 방식에 영향을 미칠 수 있습니다.

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (BeInCrypto)

🔍과거 유사 사건· 키워드 + 종목 매칭6 건

2026-04-18

이란이 유조선을 공격한 후 Polymarket의 Strait of Hormuz 관련 배당률이 폭락했다

유사도 130%關鍵字 polymarket/fires

2026-04-29

Standard Chartered는 DeFi가 2억 9,200만 달러 규모의 해킹으로 흔들렸지만 회복력을 보이고 있다고 밝혔다.

유사도 120%關鍵字 hack同分類 hot

2026-04-29

Polymarket 해킹 피해 발생, xorcat이 30만 건의 기록 및 취약점 도구 유출, 플랫폼 측 입장: 원래 공개되도록 설계됨

유사도 120%關鍵字 polymarket同分類 hot

2026-04-28