- L’acteur malveillant revendique plus de 300 000 enregistrements Polymarket extraits à l’aide de failles et d’exploits d’API.
- Polymarket nie toute violation, affirme que toutes les données référencées sont accessibles au public via les API et en chaîne de sécurité.
- Le différend met en lumière la tension entre les revendications de collecte de données et le modèle de transparence décentralisé.
Dark Web Informer, un observateur de la cybercriminalité sur X, a mis en lumière une importante violation de données chez Polymarket. Il affirme que plus de 300 000 enregistrements ont été extraits en utilisant les faiblesses de l’API. Par ailleurs, Polymarket a nié cette affirmation, affirmant que les données sont accessibles au public.
Fuite de données présumée et détails d’exploitation
Un acteur cybernétique identifié sous le nom de « xorcat » a allégué une extraction de données à grande échelle impliquant Polymarket. Cette affirmation est apparue sur un forum de cybercriminalité et a été amplifiée par Dark Web Informer sur X.
Selon la publication, l’acteur a publié un jeu de données contenant plus de 300 000 enregistrements, ainsi qu’un kit d’exploitation et une documentation technique. L’ensemble de données comprend une large gamme de données sur la plateforme. Cela inclut environ 10 000 profils utilisateurs avec des détails tels que des noms, pseudonymes, bios, images de profil et adresses liées à un portefeuille.
La publication liste également plus de 250 000 records de marché actif, 48 000 marchés gamma et des milliers de commentaires liés à des comptes utilisateurs.
D’autres enregistrements incluent des profils d’abonnés, des identifiants internes d’utilisateurs et des rapports liés aux adresses Ethereum. La taille totale du jeu de données a été décrite à environ 750 Mo sous forme extraite. Une version compressée d’environ 8,3 Mo était également partagée.
Méthodes et vulnérabilités citées
Notamment, l’acteur affirme que les données ont été obtenues grâce à de multiples faiblesses techniques. Cela inclut des points de terminaison API non documentés, le contournement de pagination et une mauvaise configuration du partage de ressources entre origines.
Le post faisait également référence à plusieurs vulnérabilités, notamment un contournement d’authentification dans Next.js middleware et un problème de falsification de requêtes côté serveur lié à Axios.
Des exploits de preuve de concept ont été inclus dans la version. Le package inclut également un script automatisé qui extrait continuellement de nouvelles données de la plateforme. Selon l’acteur, certains points de terminaison étaient accessibles sans authentification et pouvaient être interrogés à plusieurs reprises sans limites de débit.
Le post affirme en outre que certains points d’accès ont exposé des profils utilisateurs complets, des connexions sociales et des journaux d’activité. Ces affirmations n’ont pas été vérifiées de manière indépendante.
Polymarket nie toute violation
Cependant, Polymarket a rejeté ces allégations et contesté la description de l’incident. Dans sa réponse, l’entreprise a indiqué qu’aucune donnée privée n’avait été divulguée ou compromise. Il a indiqué que toutes les informations référencées sont déjà accessibles au public via ses API et ses systèmes basés sur la blockchain.
La plateforme a souligné que la transparence est une caractéristique centrale de l’infrastructure décentralisée. Elle a soutenu que les données en question peuvent être consultées librement sans exploiter aucun système protégé. L’entreprise a qualifié ces affirmations de fausse représentation du fonctionnement de sa plateforme.
Polymarket a également abordé les affirmations selon lesquelles il ne dispose pas d’un programme de prime sur les bugs. Elle a confirmé qu’elle mène un programme actif avec des récompenses allant jusqu’à 5 millions de dollars pour les résultats critiques. L’entreprise a précisé que l’accès aux points publics de terminaux ne constitue pas une vulnérabilité selon ses règles.
En lien : Comment les escrocs crypto IA ont vidé les économies de 300 000 $ d’un retraité
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
