- Pelaku ancaman mengklaim lebih dari 300.000 catatan Polymarket yang diekstraksi menggunakan kelemahan dan eksploitasi API.
- Polymarket membantah pelanggaran, mengatakan semua data yang direferensikan dapat diakses publik melalui API dan on-chain.
- Sengketa menyoroti ketegangan antara klaim pengikisan data dan model transparansi terdesentralisasi.
Dark Web Informer, pengamat kejahatan dunia maya di X, menyoroti pelanggaran data besar di Polymarket. Dia menuduh bahwa lebih dari 300.000 catatan diekstraksi menggunakan kelemahan API. Sementara itu, Polymarket telah membantah klaim tersebut, dengan menyatakan data tersebut dapat diakses publik.
Dugaan Kebocoran Data dan Detail Eksploitasi
Seorang pelaku ancaman dunia maya yang diidentifikasi sebagai “xorcat” telah menuduh ekstraksi data skala besar yang melibatkan Polymarket. Klaim itu muncul di forum kejahatan dunia maya dan diperkuat oleh Dark Web Informer di X.
Menurut postingan itu, aktor tersebut merilis kumpulan data yang berisi lebih dari 300.000 catatan, di samping kit eksploitasi dan dokumentasi teknis. Himpunan data mencakup berbagai data platform. Ini termasuk sekitar 10.000 profil pengguna dengan detail seperti nama, nama samaran, bios, gambar profil, dan alamat yang ditautkan ke dompet.
Rilis ini juga mencantumkan lebih dari 250.000 catatan pasar aktif, 48.000 pasar gamma, dan ribuan komentar yang terkait dengan akun pengguna.
Catatan tambahan termasuk profil pengikut, pengidentifikasi pengguna internal, dan laporan yang ditautkan ke alamat Ethereum. Ukuran total kumpulan data dijelaskan sebagai sekitar 750 MB dalam bentuk yang diekstraksi. Versi terkompresi sekitar 8,3 MB juga dibagikan.
Metode dan Kerentanan yang Dikutip
Khususnya, aktor tersebut mengklaim data tersebut diperoleh melalui beberapa kelemahan teknis. Ini termasuk titik akhir API yang tidak terdokumentasi, bypass penomoran halaman, dan kesalahan konfigurasi berbagi sumber daya lintas asal.
Postingan tersebut juga merujuk pada beberapa kerentanan, termasuk bypass otentikasi di middleware Next.js dan masalah pemalsuan permintaan sisi server yang terkait dengan Axios.
Eksploitasi bukti konsep disertakan dalam rilis. Paket ini juga menyertakan skrip otomatis yang terus mengekstrak data baru dari platform. Menurut aktor, beberapa titik akhir dapat diakses tanpa otentikasi dan dapat ditanyakan berulang kali tanpa batas kecepatan.
Postingan tersebut lebih lanjut mengklaim bahwa titik akhir tertentu mengekspos profil pengguna lengkap, koneksi sosial, dan log aktivitas. Pernyataan ini belum diverifikasi secara independen.
Polymarket Bantah Pelanggaran
Namun, Polymarket telah menolak klaim tersebut dan membantah karakterisasi insiden tersebut. Dalam tanggapannya, perusahaan mengatakan tidak ada data pribadi yang bocor atau disusupi. Dinyatakan bahwa semua informasi yang direferensikan sudah dapat diakses publik melalui API dan sistem berbasis blockchain.
Platform tersebut menekankan bahwa transparansi adalah fitur inti dari infrastruktur terdesentralisasi. Ia berpendapat bahwa data yang dimaksud dapat diakses secara bebas tanpa mengeksploitasi sistem yang dilindungi. Perusahaan menggambarkan klaim tersebut sebagai penyajian yang salah tentang bagaimana platformnya beroperasi.
Polymarket juga membahas klaim bahwa mereka tidak memiliki program bug bounty. Itu mengkonfirmasi bahwa mereka mengoperasikan program aktif dengan hadiah hingga $ 5 juta untuk temuan kritis. Perusahaan mengklarifikasi bahwa mengakses titik akhir publik tidak memenuhi syarat sebagai kerentanan berdasarkan aturannya.
Terkait: Bagaimana Penipu Kripto AI Menguras Tabungan $300K Pensiunan
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
