Более 300 000 записей пользователей Polymarket раскрыты из-за неправильной настройки API

Автор: Клод, Shenchao TechFlow

Обзор Shenchao: Хакер под псевдонимом «xorcat» 27 апреля загрузил на форум киберпреступности архив, содержащий более 300 000 записей, извлеченных из Polymarket, пять рабочих эксплойтов и два уязвимости уровня CVE; объем исходных данных составляет около 750 МБ.

Блокчейн-информационный аккаунт Dark Web Informer раскрыл эту информацию на X на следующий день. Polymarket в тот же день ответила, что затронутые данные «изначально были доступны через открытый API», и классифицировала инцидент как «функцию», а не утечку. Однако официальное заявление не касалось напрямую подробностей неправильной настройки API и эксплуатации уязвимостей, перечисленных хакером.

27 апреля анонимный злоумышленник под псевдонимом «xorcat» загрузил на один из форумов киберпреступности архив: JSON-файл размером 8,3 МБ, распакованный объем которого достигает примерно 750 МБ, содержащий более 300 000 записей, извлеченных из Polymarket, 5 рабочих эксплойтов (PoC) и технический отчет.

Polymarket ответила в тот же день. Однако ответ не был типичным извинением и расследованием в стиле кризисного PR, а представлял собой почти провокационный опровержение. Официальный аккаунт платформы в X опубликовал пост, шутя, что вся соответствующая информация доступна через открытые эндпоинты и блокчейн-данные, назвав это «это функция, а не уязвимость».

Событие превратилось в росумон: хакеры настаивают, что это была атака с публикацией данных без предварительного уведомления, и указывают на конкретные ошибки конфигурации API; платформа утверждает, что вся информация была открытой и никакие конфиденциальные данные не были скомпрометированы.

Согласно описанию xorcat в посте на форуме, атака не опиралась на какой-либо один сложный уязвимый момент, а скорее напоминала прохождение через серию незапертых дверей. По восстановлению аналитиков из кибербезопасностного издания The CyberSec Guru, атака в основном использовала три типа уязвимостей: неопубликованные API-эндпоинты, обход пагинации в API торговли CLOB (центральная книга лимитных ордеров) и неправильная настройка CORS (跨域资源共享).

Открытый отчет указывает, что несколько конечных точек Polymarket, как утверждается, полностью не требуют аутентификации. Например, конечная точка комментариев поддерживает перебор полных профилей пользователей; конечная точка отчетов раскрывает данные о деятельности пользователей; конечная точка подписчиков позволяет любому человеку без входа в систему построить полную социальную сеть любого адреса кошелька.

Анализ постов на форуме xorcat и ретроспектив The CyberSec Guru, The Crypto Times показывает, что утечка данных в основном структурирована по трем категориям: пользователи, рынки, инструменты атаки (см. ниже).

На стороне пользователя 10 000 независимых профилей пользователей содержат имя, никнейм, биографию, аватар, адрес агентского кошелька и адрес базового кошелька. 9000 профилей подписчиков позволяют восстановить социальную сеть. 4111 комментариев сопровождаются соответствующими профилями пользователей. В 1000 записях отчетов задействованы 58 уникальных адресов Ethereum. Внутренние поля идентификаторов пользователей, такие как createdBy и updatedBy, также распределены по различным местам, косвенно воссоздавая частичную структуру учетных записей платформы.

На стороне рынка представлено 48 536 рынков из системы Polymarket Gamma (с полными метаданными, condition ID, token ID), более 250 000 активных CLOB-рынков (с адресами контрактов FPMM), 292 события с внутренними именами пользователей и адресами кошельков субмиттеров и арбитров, а также 100 конфигураций вознаграждений с адресами контрактов USDC и ежедневными ставками выплат.

Адрес кошелька сам по себе анонимен в блокчейне, но при появлении вместе с именем, биографией или аватаром анонимность мгновенно нарушается. Это ключевой спорный момент, который Polymarket не затронул в своем ответе:

Является ли данные «открытыми» и могут ли они после агрегации по-прежнему защищать личность пользователя — это две разные проблемы.

Ответ Polymarket от 28 апреля на X состоял из одного твита. Платформа начала с эмодзи «😂», сначала поставив под сомнение слово «взломан», а затем опровергла каждый пункт: данные в цепочке всегда доступны для публичного аудита, никакие данные не были «утечены», та же информация ранее уже могла быть получена бесплатно через публичный API, без необходимости платить за неё. Весь текст завершается утверждением: «Это функция, а не уязвимость».

The Crypto Times отмечает, что ответ Polymarket не касается конкретных технических обвинений хакеров, включая неправильную настройку API, ошибки CORS, незадекларированные эндпоинты и отсутствие лимитов скорости. Платформа агрессивно отвечает на самый простой для опровержения вопрос — «были ли данные открыты», но сохраняет молчание по более существенной проблеме безопасности: «злоумышленник смог массово извлечь и упаковать данные через неожиданные пути».

Xorcat также утверждает, что не уведомлял Polymarket заранее, поскольку на этой платформе отсутствует программа вознаграждения за обнаружение уязвимостей. Этот факт пока не подтвержден третьими сторонами, но если он верен, это указывает на определенный пробел в активном управлении безопасностью Polymarket: отсутствие официального канала для ответственного раскрытия информации, из-за чего злоумышленники склонны публиковать информацию публично, а не сообщать о ней внутренне.

Вернёмся к хронологии: с августа по сентябрь 2024 года несколько пользователей, входивших в Polymarket через аккаунты Google, сообщили о краже USDC; злоумышленники использовали вызов функции proxy в Magic Labs SDK для перевода балансов пользователей на фишинговые адреса. Служба поддержки Polymarket подтвердила до конца сентября как минимум пять подобных атак.

В ноябре 2025 года хакеры использовали комментарии на Polymarket для публикации фишинговых ссылок; после их клика на устройства пользователей устанавливались вредоносные скрипты, в результате чего общие потери от мошеннических действий превысили 500 000 долларов США.

В декабре 2025 года снова произошла массовая кража аккаунтов. Polymarket подтвердила инцидент в Discord, attributing it to «уязвимость в сторонней службе аутентификации». Обсуждения в социальных сетях в основном указывают на пользователей, входивших через электронную почту Magic Labs; платформа не назвала конкретного поставщика услуг и не раскрыла точное количество пострадавших пользователей или масштаб потерь.

После каждого инцидента платформа давала различные ответы: от возложения вины на сторонних провайдеров до признания проблем и обещаний связаться с затронутыми пользователями. Инцидент с xorcat стал первым случаем, когда в качестве полной защиты использовалась позиция «это были открытые данные». С точки зрения исторического контекста, этот ответ больше похож на борьбу за определение характера инцидента, чем на обычное реагирование на безопасностную угрозу.

На момент публикации Polymarket не предоставила пояснений по устранению конкретных технических уязвимостей, раскрытых xorcat, и скрипт PoC на форуме по-прежнему доступен для скачивания любым пользователем.