Polymarket hat Behauptungen über ein Datenleck zurückgewiesen, nachdem ein Bedrohungsakteur namens xorcat 300.000 Datensätze in einem Forum für Cyberkriminalität veröffentlicht hatte. Der dezentrale Prognosemarkt erklärte, die Informationen seien öffentlich über seine APIs und die Geschichte auf der Blockchain zugänglich.
Der Akteur, auf den der Überwachungs-Account Dark Web Informer aufmerksam machte, behauptete, Nutzerprofile, Kommentare, Marktdaten und Exploit-Code extrahiert zu haben. Polymarket erklärte als Antwort, es handele sich bei der Veröffentlichung um eine Funktion und keine Schwachstelle.
Polymarket: Nutzerdaten veröffentlicht?
In dem Forenbeitrag bewirbt der Autor ein 750-MB-Paket, das etwa 10.000 Nutzerprofile, 4.111 Kommentare, 48.536 Märkte aus der Polymarket-Gamma-API sowie mehr als 250.000 aktive Märkte aus der CLOB-API enthält.
Der Akteur legte auch Follower-Listen, Konfigurationen zu Belohnungen und interne Nutzer-IDs bei.
Neben den Rohdaten enthielt das Paket angeblich sogenannte Proof-of-Concept-Exploits. Dazu zählten ein Axios-Proxy-Bypass mit der Kennung CVE-2025-62718, eine Fehlkonfiguration von CORS bei der CLOB API, ein Next.js Middleware-Authentifizierungs-Bypass sowie ein Fehler beim Blättern, der laut Verkäufer unbegrenzte Abfragegrößen zuließ.
Der Beitrag deutete das Datenpaket als Beweis für fehlende Zugriffskontrollen bei Polymarket und behauptete, die Plattform habe kein Bug-Bounty-Programm und sei vor der Veröffentlichung nie informiert worden.
Polymarkets Antwort
Polymarket reagierte in einer Stellungnahme auf X. Die Plattform erklärte, alle im Beitrag genannten Daten seien auf der Blockchain überprüfbar oder über die dokumentierten Schnittstellen erreichbar.
„Ein Vorteil, auf der Blockchain zu sein, ist, dass alle unsere Daten öffentlich überprüfbar sind… Das ist eine Funktion, kein Fehler. Es wurden keine Daten ‚veröffentlicht’ – sie sind über unsere öffentlichen Endpunkte und die Blockchain-Daten verfügbar.”
Das Team stellte klar, dass Forscher nicht einen Verkäufer im Forum für diese Informationen bezahlen müssten, sondern das Protokoll stellt dies kostenlos bereit. Polymarket verwies auf die API-Dokumentation.
Bug-Bounty-Grenzen
Polymarket widersprach auch der Behauptung, es gebe kein Bug-Bounty-Programm. Die Plattform betreibt ein über fünf Millionen USD schweres Programm bei Cantina und stellt klar, dass das Auslesen öffentlicher APIs nicht belohnt wird.
Prämien gibt es nur für gemeldete echte Sicherheitslücken, die Vermögenswerte, Smart Contracts oder private Nutzerdaten betreffen.
Der Streit steht beispielhaft für eine andauernde Spannung bei Prognosemärkten und anderen Plattformen auf der Blockchain. Transparente Ledgers verwischen oft die Grenzen zwischen Offenlegung und Entdeckung.
Polymarkets Haltung deutet darauf hin, dass die Plattform kein großes Risiko darin sieht, Marktdaten weiterhin öffentlich zu machen. Die Reaktion könnte beeinflussen, wie zukünftige Funde zur Plattform kommuniziert werden.
