Polymarket rechaza las reclamaciones de una brecha de datos de 300.000

• El actor amenazante reclama más de 300.000 registros de Polymarket extraídos utilizando fallos y exploits de la API.
• Polymarket niega la brecha y afirma que todos los datos referenciados son accesibles públicamente a través de APIs y on-chain.
• La disputa pone de manifiesto la tensión entre las afirmaciones de extracción de datos y el modelo de transparencia descentralizado.

Dark Web Informer, un observador de ciberdelincuencia en X, destacó una importante brecha de datos en Polymarket. Alega que se extrajeron más de 300.000 registros utilizando debilidades de la API. Mientras tanto, Polymarket ha denegado la afirmación, alegando que los datos son accesibles públicamente.

Supuestas filtraciones de datos y detalles de explotaciones

Un actor de ciberamenazas identificado como «xorcat» ha alegado una extracción de datos a gran escala que involucra a Polymarket. La afirmación apareció en un foro de cibercrimen y fue amplificada por Dark Web Informer en X.

Según la publicación, el actor publicó un conjunto de datos que contenía más de 300.000 registros, junto con un kit de exploits y documentación técnica. El conjunto de datos incluye una amplia gama de datos de plataformas. Esto incluye unos 10.000 perfiles de usuario con detalles como nombres, seudónimos, biografías, imágenes de perfil y direcciones vinculadas a la cartera.

El comunicado también enumera más de 250.000 registros de mercados activos, 48.000 mercados gamma y miles de comentarios vinculados a cuentas de usuarios.

Registros adicionales incluyen perfiles de seguidores, identificadores internos de usuarios e informes vinculados a direcciones de Ethereum. El tamaño total del conjunto de datos se describió como aproximadamente 750 MB en forma extraída. También se compartía una versión comprimida de unos 8,3 MB.

Métodos y vulnerabilidades citados

Cabe destacar que el actor afirma que los datos se obtuvieron a través de múltiples debilidades técnicas. Estos incluyen endpoints de API no documentados, bypass de paginación y una mala configuración de compartición de recursos entre orígenes.

La publicación también hacía referencia a varias vulnerabilidades, incluyendo un bypass de autenticación en Next.js middleware y un problema de falsificación de solicitudes en el lado del servidor vinculado a Axios.

En la publicación se incluyeron exploits de prueba de concepto. El paquete también incluye un script automatizado que extrae continuamente datos frescos de la plataforma. Según el actor, algunos endpoints eran accesibles sin autenticación y podían consultarse repetidamente sin límites de velocidad.

La publicación además afirma que ciertos endpoints expusieron perfiles completos de usuario, conexiones sociales y registros de actividad. Estas afirmaciones no han sido verificadas de forma independiente.

Polymarket niega cualquier violación

Sin embargo, Polymarket ha rechazado las afirmaciones y ha disputado la caracterización del incidente. En su respuesta, la empresa afirmó que no se filtraron ni comprometieron datos privados. Indicó que toda la información referenciada ya es accesible públicamente a través de sus APIs y sistemas basados en blockchain.

La plataforma subrayó que la transparencia es una característica fundamental de la infraestructura descentralizada. Argumentó que los datos en cuestión pueden accederse libremente sin explotar ningún sistema protegido. La empresa describió las afirmaciones como una tergiversación de cómo opera su plataforma.

Polymarket también abordó las afirmaciones de que carece de un programa de recompensas por errores. Confirmó que opera un programa activo con recompensas de hasta 5 millones de dólares por hallazgos críticos. La empresa aclaró que acceder a endpoints públicos no califica como vulnerabilidad según sus normas.

Relacionado: Cómo los estafadores de criptomonedas con IA agotaron los 300.000 dólares ahorrados de un jubilado