Polymarket hat Behauptungen über ein Datenleck zurückgewiesen, nachdem ein Bedrohungsakteur namens xorcat 300.000 Datensätze in einem Forum für Cyberkriminalität veröffentlicht hatte. Der dezentrale Prognosemarkt erklärte, die Informationen seien öffentlich über seine APIs und die Geschichte auf der Blockchain zugänglich.
Der Akteur, auf den der Überwachungs-Account Dark Web Informer aufmerksam machte, behauptete, Nutzerprofile, Kommentare, Marktdaten und Exploit-Code extrahiert zu haben. Polymarket erklärte als Antwort, es handele sich bei der Veröffentlichung um eine Funktion und keine Schwachstelle.
Polymarket: Nutzerdaten veröffentlicht?
In dem Forenbeitrag wurde ein Paket mit 750 MB beworben, das etwa 10.000 Nutzerprofile, 4.111 Kommentare, 48.536 Märkte von Polymarkets Gamma API und mehr als 250.000 aktive Märkte von seiner CLOB API enthielt.
Der Akteur legte auch Follower-Listen, Konfigurationen zu Belohnungen und interne Nutzer-IDs bei.
Neben den Rohdaten enthielt das Paket angeblich sogenannte Proof-of-Concept-Exploits. Dazu zählten ein Axios-Proxy-Bypass mit der Kennung CVE-2025-62718, eine Fehlkonfiguration von CORS bei der CLOB API, ein Next.js Middleware-Authentifizierungs-Bypass sowie ein Fehler beim Blättern, der laut Verkäufer unbegrenzte Abfragegrößen zuließ.
Der Beitrag deutete das Datenpaket als Beweis für fehlende Zugriffskontrollen bei Polymarket und behauptete, die Plattform habe kein Bug-Bounty-Programm und sei vor der Veröffentlichung nie informiert worden.
Polymarkets Antwort
Polymarket reagierte bereits nach wenigen Stunden. In einer Stellungnahme auf X erklärte die Plattform, alle im Beitrag genannten Daten seien auf der Blockchain überprüfbar oder über die dokumentierten Schnittstellen erreichbar.
„Ein Vorteil, auf der Blockchain zu sein, ist, dass alle unsere Daten öffentlich überprüfbar sind… Das ist eine Funktion, kein Fehler. Es wurden keine Daten ‚veröffentlicht’ – sie sind über unsere öffentlichen Endpunkte und die Blockchain-Daten verfügbar.”
Das Team stellte klar, dass Forscher nicht einen Verkäufer im Forum für diese Informationen bezahlen müssten. Diese werden vom Protokoll kostenlos bereitgestellt. Polymarket verwies auf die API-Dokumentation.
Bug-Bounty-Grenzen
Polymarket widersprach auch der Behauptung, es gebe kein Bug-Bounty-Programm. Die Plattform verwies auf ihr Programm über fünf Millionen USD, das bei Cantina läuft, und stellte klar, dass das Auslesen öffentlicher APIs nicht belohnt wird.
Prämien gibt es nur für gemeldete echte Sicherheitslücken, die Vermögenswerte, Smart Contracts oder private Nutzerdaten betreffen.
Der Streit steht beispielhaft für eine andauernde Spannung bei Prognosemärkten und anderen Plattformen auf der Blockchain. Transparente Ledgers verwischen oft die Grenzen zwischen Offenlegung und Entdeckung.
Polymarkets Haltung deutet darauf hin, dass die Plattform kein großes Risiko darin sieht, Marktdaten weiterhin öffentlich zu machen. Die Reaktion könnte beeinflussen, wie zukünftige Funde zur Plattform kommuniziert werden.
