Ang blockchain threat intelligence account na Dark Web Informer ay inilabas ang balitang susunod na araw sa X. Sumagot ang Polymarket sa araw na iyon, na ang nasabing data ay “nagagamit na sa pamamagitan ng open API” at isinasaad ito bilang “function” at hindi bilang breach. Gayunpaman, ang opisyal na pahayag ay hindi direkta na tinutugunan ang mga detalye ng maling konfigurasyon ng API at pagpapakita ng vulnerabilities na listahan ng hacker.
Noong Abril 27, isinampa ng isang attacker na gumagamit ng pseudonym na “xorcat” isang compressed file sa isang forum ng cybercrime: isang 8.3MB na JSON file na nagsasaklaw ng halos 750MB pagkatapos i-unzip, na naglalaman ng higit sa 300,000 na rekord mula sa Polymarket, 5 na aktibong exploit scripts (PoC), at isang teknikal na ulat.
Sagot ng Polymarket sa araw na iyon. Ngunit ang sagot ay hindi karaniwang pahayag ng pagpapatawad at pagsisiyasat sa panahon ng krisis, kundi isang halos pagtataksil na pagtutol. Ang opisyal na account ng platform ay nag-post sa X, na nagtatawa na ang lahat ng kaugnay na nilalaman ay maaaring ma-access sa mga pampublikong endpoint at on-chain data, at itinuring ito bilang “isang tampok, hindi isang bug.”
Ang pangyayari ay naging isang Rashomon: Ang mga hacker ay nagpapatuloy na ito ay isang pag-atake sa data na ipinahayag nang walang paunang babala, at tinutukoy ang ilang maling konpigurasyon ng API; samantalang ang platform ay nagpapatuloy na lahat ng nilalaman ay publiko at walang pribadong impormasyon ang nasira.
Attack path: "A series of unlocked doors"
Ayon sa paglalarawan ni xorcat sa post sa forum, ang pag-atake ay hindi nagdepende sa anumang isang komplikadong vulnerability, kundi mas tulad ng paglalakbay sa isang serye ng mga pinto na hindi nakasara. Ayon sa pagpapaliwanag ng cybersecurity media na The CyberSec Guru, ang pag-atake ay pangunahing nagamit ang tatlong uri ng problema: hindi ipinakita na API endpoints, pag-iwas sa pagination sa CLOB (Central Limit Order Book) trading API, at isang maling konfigurasyon ng CORS (Cross-Origin Resource Sharing).
Ang pampublikong ulat ay naglalatag na ang ilang endpoint ng Polymarket ay hindi kailangan ng anumang autentikasyon. Halimbawa, ang endpoint ng komento ay nagpapahintulot sa brute-force enumeration ng buong user profile; ang endpoint ng ulat ay inilalabas ang data ng user activity; at ang endpoint ng followers ay nagpapahintulot sa anumang tao na mabuo ang buong social graph ng anumang wallet address nang walang pag-login.
Ano ang nakalagay sa higit sa 300,000 na rekord
Ang mga post sa forum ng xorcat at ang pagpapaliwanag ng The CyberSec Guru at The Crypto Times ay nagpapakita na ang leaked package ay nakakategorya sa tatlong pangkalahatang klase: user, market, at attack tools (tingnan ang data card sa ibaba).
Ang 10,000 na hiwalay na user profile sa gilid ng user ay naglalaman ng pangalan, username, personal na biography, avatar, proxy wallet address, at underlying wallet address. Ang 9,000 na profile ng follower ay maaaring magbigay ng larawan ng social network. Ang 4,111 na comment data ay may kasamang kaugnay na user profile. Sa 1,000 na report record, mayroong 58 hiwalay na Ethereum addresses. Ang mga panloob na user ID fields tulad ng createdBy at updatedBy ay nakalat din sa iba’t ibang lugar, na kumakatawan sa bahagyang pagbabalik ng istruktura ng platform account.
Ang mga market ay kumakalat sa 48,536 na market mula sa Polymarket Gamma system (kasama ang buong metadata, condition ID, token ID), higit sa 250,000 na aktibong CLOB market (kasama ang FPMM contract address), 292 na event na may internal username at wallet address ng submitter at arbiter, at 100 reward configurations na may USDC contract address at daily payout rate.
Ang wallet address ay anonymous sa blockchain, ngunit kapag kasama nito ang pangalan, personal na profile, at profile picture, nawawala ang anonymity. Ito ang pangunahing kontrobersya na hindi sinasakop ng pagtugon ni Polymarket:
Ang pagiging "pampubliko" ng data at kung patuloy pa bang protektado ang pagkakakilanlan ng user pagkatapos ma-aggregate ang data ay dalawang magkaibang tanong.
“Ito ay isang tampok, hindi isang bug”: Ang pagtutol ni Polymarket
Ang tanging tweet na isinampa ng Polymarket noong Abril 28 sa X ay nagsimula sa emoji na «😂», kung saan ito ay nagtanong tungkol sa terminong «na-hack», at pagkatapos ay tumutol sa bawat punto: ang chain data ay maaaring ma-audit nang pampubliko, walang data na «leaked», ang parehong impormasyon ay maaaring ma-access nang libre sa public API, kaya hindi kailangang bumili nito. Pinamagatan ng «Ito ay feature, hindi vulnerability» ang buong pahayag.
Sinipi ng The Crypto Times na ang tugon ni Polymarket ay hindi direktang sinasaklaw ang mga tiyak na teknikal na akusasyon ng hacker, kabilang ang maling konfigurasyon ng API, maling konfigurasyon ng CORS, hindi ipinakita endpoints, at kulang na rate limiting. Ang platform ay nag-atake nang malakas sa pinakamadaling ipagtanggol na aspeto—kung ang data ay pampubliko—ngunit nanatiling tahimik sa mas pangunahing isyu sa seguridad: ang pagkuha at pagpapakete ng mga datos ng attacker sa pamamagitan ng hindi inaasahang daan.
Kinilala rin ng xorcat na hindi binigyan ng abiso ang Polymarket, dahil wala ang platform sa isang bug bounty program. Hindi pa nasusuri ng third party ang puntos na ito, ngunit kung totoo, ito ay nagpapakita ng isang kakulangan sa aktibong paggawa ng seguridad ng Polymarket: walang opisyal na channel para sa responsible disclosure, kaya mas pipiliin ng mga attacker na i-publish nang direkta kaysa i-report sa loob.
Hindi ito ang unang pagkakataon na binabanggit ang seguridad ng Polymarket
Bumalik sa timeline, Agosto hanggang Setyembre 2024, ilang mga gumagamit na nag-login sa Polymarket gamit ang kanilang Google account ay nareport na nasiraan ng USDC, kung saan ang mga attacker ay nagamit ang proxy function call sa Magic Labs SDK upang ilipat ang balanse ng mga gumagamit sa phishing address. Tiniyak ng customer service ng Polymarket bago ang dulo ng Setyembre na mayroong hindi bababa sa limang katulad na pag-atake.
Noong Nobyembre 2025, ginamit ng mga hacker ang komentaryo ng Polymarket upang mag-post ng mga phishing link; pagkatapos ma-click, inilalagay nito ang masasamang script sa device ng mga user, at ang mga kakaibang aktibidad na ito ay nagdulot ng higit sa $500,000 na pagkawala.
Noong Disyembre 2025, muli ay nangyari ang pagkakalason ng maraming akunang may-ari. Tinanggap ng Polymarket ang insidente sa Discord at isinabing dahil sa “buhay na pampasok ng third-party authentication service.” Ang mga diskusyon sa social media ay pangkalahatang tumutukoy sa mga user na nag-login gamit ang email ng Magic Labs, ngunit hindi binanggit ng platform ang partikular na serbisyo na nasira, at hindi rin isinampa ang eksaktong bilang ng mga naapektuadong user o sukat ng pagkawala.
Pagkatapos ng bawat pangyayari, ang platform ay nagbigay ng iba’t ibang antas ng tugon: may mga nagsisisi sa third-party service provider, at may mga tumanggap ng problema at nagbigay ng pangako na makipag-ugnayan sa mga naapektuho. Ang kasalukuyang pangyayari ng xorcat ay ang unang pagkakataon na ginamit ang “ito ay pampublikong data” bilang buong depensa. Mula sa kasaysayan, ang tugon na ito ay mas tila isang pakikidigma sa kalikasan ng pangyayari kaysa isang karaniwang tugon sa seguridad.
Sa oras ng pagsulat, wala pang paliwanag mula sa Polymarket tungkol sa pagpapabuti ng mga teknikal na butas na inilahad ni xorcat, at ang mga script na PoC sa forum ay maaari pa ring i-download ng sinuman.
May-akda: Claude, Deep潮 TechFlow