گھر
خبریں
تفصیلات

API کی غلط ترتیب کے ذریعے 300,000 سے زیادہ Polymarket صارفین کے ریکارڈز کا انکشاف

icon MarsBit
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POLYX
$0.0537‮‭1.51‬%‬
AI summary iconخلاصہ

expand icon
ایک ہیکر جس کا نام 'xorcat' ہے، نے Polymarket سے زیادہ تر 300,000 صارفین کے ریکارڈز، جن میں والٹ ایڈریسز اور سوشل رشتے شامل ہیں، API اینٹیگریشن کی خامیوں کے ذریعے ایک 750MB کا ڈیٹا پیکیج اپ لوڈ کیا۔ یہ ڈیٹا 27 اپریل، 2026 کو ایک سائبر جرائم فورم پر 5 ایکسپلوٹ اسکرپٹس اور 2 CVE لیول کی کمزوریوں کے ساتھ شیئر کیا گیا۔ Polymarket نے اس ایکسپوژر کو 'فیچر' کہا، نہ کہ بریچ، لیکن انہوں نے API اینٹیگریشن کی خامیوں پر کوئی عمل نہیں کیا۔ یہ واقعہ پہلے کے سیکورٹی خدشات، جن میں USDC چوری اور فشنگ حملے شamil ہیں، کو مزید بڑھاتا ہے۔ اسمارٹ کنٹریکٹ کمزوریاں بلاک چین کے شعبے میں بھی ایک بار پھر دہرائے جانے والے مسئلہ رہی ہیں۔

مصنف: کلوڈ، شن چاؤ ٹیک فلو

شین چاؤ کا خلاصہ: ہیکر، جس کا نام "xorcat" ہے، نے 27 اپریل کو کرائم فورم پر ایک زِپ فائل اپ لوڈ کی، جس میں Polymarket سے حاصل کی گئی 300,000 سے زائد ریکارڈز، 5 قابل اجرا ایکسپلوٹ اسکرپٹس اور 2 CVE لیول کے خامیاں شامل ہیں، جن کا اصلی سائز تقریباً 750MB ہے۔

بلوکچین تھریٹ انٹیلی جنس اکاؤنٹ Dark Web Informer نے اگلے دن X پر اس بات کا انکشاف کیا۔ پولی مارکیٹ نے اسی دن جواب دیا کہ متعلقہ ڈیٹا "پہلے سے عام API کے ذریعے دستیاب تھا" اور اس واقعہ کو "لیک" کے بجائے "فیچر" قرار دیا۔ تاہم، سرکاری بیان میں ہیکرز کے ذکر کردہ API کی غلط ترتیب اور خرابیوں کے استعمال کے تفصیلات پر براہ راست عمل نہیں کیا گیا۔

تصویر

27 اپریل کو، ایک حملہ آور جس کا نام "xorcat" ہے، نے ایک نیٹ ورک کرائم فورم پر ایک کمپریسڈ فائل اپ لوڈ کی: 8.3 میگا بائٹ کا JSON فائل، جو ایکسٹریکٹ کرنے پر تقریباً 750 میگا بائٹ ہو گیا، جس میں Polymarket سے حاصل کردہ تین لاکھ سے زائد ریکارڈ، پانچ عملی حملہ کے اسکرپٹس (PoC) اور ایک ٹیکنیکل رپورٹ شامل تھی۔

پولیمارکیٹ نے اسی دن جواب دیا۔ لیکن جواب عام کریسس پبلک ریلیشنز کی معذرت اور جانچ کی بجائے، ایک تقریباً چیلنج کرنے والی رد عمل تھی۔ اس پلیٹ فارم نے اپنے افسرانی اکاؤنٹ پر ایک پوسٹ شیئر کی جس میں کہا گیا کہ تمام متعلقہ مواد عوامی اینڈ پوائنٹس اور بلاکچین ڈیٹا کے ذریعے دستیاب ہیں، اور اسے "یہ فنکشن ہے، خرابی نہیں" قرار دیا گیا۔

یہ واقعہ ایک روسومون بن گیا: ہیکرز کا دعویٰ ہے کہ یہ ایک ایسا حملہ تھا جس کی کوئی اطلاع نہیں دی گئی تھی اور ڈیٹا کو علنا شائع کر دیا گیا، اور انہوں نے کچھ API کی غلط ترتیبات کو خاص طور پر نشانہ بنایا ہے؛ جبکہ پلیٹ فارم کا دعویٰ ہے کہ تمام مواد علنا دستیاب تھا اور کوئی نجی معلومات لوٹی نہیں گئی۔

حملہ کا راستہ: "ایک لڑی بند نہ ہونے والے دروازے"

xorcat کے فورم پوسٹ کے مطابق، حملہ کسی ایک پیچیدہ خامی پر منحصر نہیں تھا، بلکہ یہ بند دروازوں کی ایک لڑی سے گزرنے جیسا تھا۔ سائبر سیکورٹی میڈیا The CyberSec Guru کے مطابق، حملہ تین قسم کے مسائل کا استعمال کرتا تھا: غیر من公开 API اندراجات، CLOB (مرکزی قیمت مبنی آرڈر بک) ٹریڈنگ API کا پیجینگ بائی پاس، اور ایک CORS (کراس-ڈومین ریسورس شیئرنگ) کی غلط ترتیب۔

عوامی رپورٹ کے مطابق، پولی مارکیٹ کے کئی اینڈ پوائنٹس کو بالکل بھی تصدیق کی ضرورت نہیں ہوتی۔ مثال کے طور پر، تبصرہ اینڈ پوائنٹ مکمل صارف پروفائلز کے لیے بریو فورس انوینٹری کی اجازت دیتا ہے؛ رپورٹنگ اینڈ پوائنٹ صارف کی سرگرمی کے ڈیٹا کو ظاہر کرتا ہے؛ اور فالوورز اینڈ پوائنٹ کسی بھی شخص کو لاگ ان کیے بغیر کسی بھی والٹ ایڈریس کا مکمل سوشل نیٹ ورک نقشہ بنانے کی اجازت دیتا ہے۔

300,000+ ریکارڈز میں کیا ہے

xorcat فورم کے پوسٹ اور The CyberSec Guru، The Crypto Times کے جائزے سے پتہ چلتا ہے کہ لیک کیا گیا پیک تقریباً صارفین، مارکیٹ، اور حملہ کے اوزار کے تین اقسام میں منظم ہے (نیچے دی گئی ڈیٹا کارڈ دیکھیں)۔

صارف کی طرف سے 10,000 الگ صارف پروفائلز میں نام، نام مستعار، ذاتی تعارف، پروفائل تصویر، ایجینٹ والٹ ایڈریس اور بنیادی والٹ ایڈریس شامل ہیں۔ 9,000 فولوور پروفائلز سوشل رشتے کے نقشے کو ظاہر کرتے ہیں۔ 4,111 تبصرے ڈیٹا میں متعلقہ صارف پروفائلز موجود ہیں۔ 1,000 رپورٹ ریکارڈز میں 58 الگ ایتھریم ایڈریسز شامل ہیں۔ createdBy اور updatedBy جیسے اندر کے صارف ID فیلڈز بھی مختلف جگہوں پر پائے جاتے ہیں، جو پلیٹ فارم اکاؤنٹ سٹرکچر کے کچھ پہلوؤں کو غیر دونی طور پر دوبارہ تعمیر کرتے ہیں۔

مارکیٹ سائیڈ پر Polymarket گاما سسٹم سے 48,536 مارکیٹس (مکمل میٹا ڈیٹا، کنڈیشن ID، ٹوکن ID سمیت)، 250,000 سے زائد فعال CLOB مارکیٹس (FPMM کنٹریکٹ ایڈریس سمیت)، 292 واقعات (جن میں سبمٹر اور ارٹر کے اندر صارف نام اور ویلیٹ ایڈریس شامل ہیں)، اور 100 انعام کنفیگریشنز (جن میں USDC کنٹریکٹ ایڈریس اور روزانہ ادائیگی کی شرح شامل ہے) شامل ہیں۔

ویلٹ ایڈریسز زنجیر پر خود بخود مخفی ہوتے ہیں، لیکن جب ان کے ساتھ نام، ذاتی تعارف، اور پروفائل تصویر ظاہر ہوتی ہے، تو مخفی رہائی فوراً ختم ہو جاتی ہے۔ یہی Polymarket کے اس جواب میں نہیں لیا گیا مرکزی تنازعہ ہے:

کیا ڈیٹا "پبلک" ہے اور کیا ڈیٹا کو اکٹھا کرنے کے بعد بھی صارف کی شناخت کا تحفظ ہوتا ہے، یہ دو الگ مسائل ہیں۔

تصویر

"یہ فنکشن ہے، خرابی نہیں": پولی مارکیٹ کا جواب

پولیمارکیٹ نے 28 اپریل کو ایک ہی ٹویٹ کے ذریعے X پر جواب دیا۔ یہ پلیٹ فارم "😂" ایموجی کے ساتھ شروع ہوا، "ہیک شدہ" کے لفظ کو سوال کیا، اور پھر ہر نقطہ کا جواب دیا: بلاکچین ڈیٹا ہمیشہ سے عوامی طور پر جانچ کے قابل تھا، کوئی ڈیٹا "لیک" نہیں ہوا، اور وہی معلومات پہلے سے عوامی API کے ذریعے مفت حاصل کی جا سکتی تھیں، ادائیگی کی ضرورت نہیں تھی۔ پورا جواب "یہ ایک خصوصیت ہے، کوئی خرابی نہیں" کے ساتھ ختم ہوا۔

کرپٹو ٹائمز نے رپورٹ کیا کہ پولی مارکیٹ کے جواب میں ہیکرز کے ذریعہ اٹھائے گئے خاص ٹیکنیکل الزامات، جیسے API کی غلط ترتیب، CORS کی غلط ترتیب، غیر اعلان شدہ اینڈ پوائنٹس، اور ریٹ لِمٹ کی کمی وغیرہ، کا براہ راست جواب نہیں دیا گیا۔ پلیٹ فارم نے "ڈیٹا کیا عوامی ہے" جیسے سب سے آسان طور پر انکار کیا جانے والا پہلو پر زور دیا، لیکن "حملہ آور نے غیر متوقع راستوں سے ڈیٹا کو بڑے پیمانے پر نکال کر پیک کیا" جیسے زیادہ اہم سیکورٹی مسئلے پر خاموش رہا۔

xorcat نے بھی کہا کہ انہوں نے Polymarket کو پہلے نہیں بتایا، کیونکہ اس پلیٹ فارم کے پاس کوئی وَل ناشکری پروگرام نہیں تھا۔ یہ بات اب تک تیسری طرف کی طرف سے تصدیق نہیں ہوئی، لیکن اگر یہ سچ ہے، تو اس سے Polymarket کے فعال سیکورٹی گورننس میں ایک خلا ظاہر ہوتا ہے: کوئی باقاعدہ ذمہ دارانہ اطلاع کا طریقہ نہ ہونا، جس کی وجہ سے حملہ آور عام طور پر اندر کی رپورٹنگ کے بجائے فوری طور پر علنی طور پر شائع کرنے کی طرف رجحان رکھتے ہیں۔

تصویر

یہ پولی مارکیٹ کا پہلا محفوظیت کا مسئلہ نہیں ہے

ٹائم لائن پر واپس جائیں، اگست سے ستمبر 2024 تک، کئی صارفین جنہوں نے Google اکاؤنٹ کے ذریعے Polymarket پر لاگ ان کیا، نے رپورٹ کیا کہ ان کا USDC چوری ہو گیا ہے، جس میں حملہ آور نے Magic Labs SDK کے proxy فنکشن کا استعمال کرتے ہوئے صارفین کے بیلنس کو فشنگ ایڈریسز پر منتقل کر دیا۔ Polymarket کی صارفین کی مدد ٹیم نے ستمبر کے آخر تک کم از کم پانچ ایسے حملوں کی تصدیق کر لی۔

نومبر 2025 میں، ہیکرز نے پولی مارکیٹ کے تبصرے کے حصے میں فشرنگ لنکس شائع کیے، جن پر کلک کرنے سے صارفین کے ڈیوائسز پر بری بھری اسکرپٹس نصب ہو گئیں، جس کے نتیجے میں متعلقہ دھوکہ دہی کی سرگرمیوں نے 500,000 ڈالر سے زائد کا نقصان پہنچایا۔

دسمبر 2025 میں، دوبارہ بڑے پیمانے پر اکاؤنٹس چوری ہوئے۔ پولی مارکیٹ نے ڈسکورڈ پر واقعہ تصدیق کیا اور اسے "تیسری طرف کی شناخت کی سروس کے خلل" کی وجہ سے منسوب کیا۔ سوشل میڈیا پر بحثیں عام طور پر میجک لیبز کے ای میل کے ذریعے لاگ ان کرنے والے صارفین کی طرف اشارہ کرتی ہیں، جبکہ پلیٹ فارم نے متعلقہ سروس پر کوئی نام نہیں لیا اور متاثرہ صارفین کی تعداد یا نقصان کا پیمانہ بھی فاش نہیں کیا۔

ہر واقعے کے بعد پلیٹ فارم نے مختلف سطح کے جوابات دیے ہیں: کبھی تیسری پارٹی سروس پر الزام لگایا گیا، کبھی مسئلہ تسلیم کیا گیا اور متاثرہ صارفین سے رابطہ کرنے کا وعدہ کیا گیا۔ اس xorcat واقعے میں پہلی بار "یہ اصل میں عوامی ڈیٹا ہے" کو مکمل دفاع کے طور پر استعمال کیا گیا۔ تاریخی تناظر میں، یہ جواب واقعے کی قسم پر زور دینے کا ایک اقدام جیسا لگ رہا ہے، نہ کہ عام سطح پر سیکورٹی واقعے کا جواب۔

نشر کے وقت تک، پولی مارکیٹ نے xorcat کے ذریعہ افشا کیے گئے مخصوص ٹیکنیکل خامیوں کی مرمت کے بارے میں کوئی وضاحت نہیں دی ہے، اور فورم پر موجود PoC اسکرپٹ کسی بھی شخص کے ذریعہ ڈاؤن لوڈ کیا جا سکتا ہے۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔