Polymarket rejeita alegações de violação de dados de 300K

• O ator ameaçador afirma mais de 300.000 registros da Polymarket extraídos usando falhas e exploits da API.
• A Polymarket nega violação, afirma que todos os dados referenciados são publicamente acessíveis via APIs e on-chain.
• Disputa destaca tensão entre as alegações de coleta de dados e o modelo de transparência descentralizado.

O Dark Web Informer, um observador de crimes cibernéticos no X, destacou uma grande violação de dados na Polymarket. Ele alega que mais de 300.000 registros foram extraídos usando fraquezas da API. Enquanto isso, a Polymarket negou a alegação, afirmando que os dados são de acesso público.

Supostos vazamentos de dados e detalhes de explorações

Um ator de ameaça cibernética identificado como “xorcat” alegou uma extração de dados em grande escala envolvendo a Polymarket. A alegação apareceu em um fórum de cibercrime e foi ampliada pelo Dark Web Informer no X.

Segundo a publicação, o ator divulgou um conjunto de dados contendo mais de 300.000 registros, junto com um kit de exploit e documentação técnica. O conjunto de dados inclui uma ampla variedade de dados de plataformas. Isso inclui cerca de 10.000 perfis de usuário com detalhes como nomes, pseudônimos, biografias, imagens de perfil e endereços vinculados a carteiras.

O comunicado também lista mais de 250.000 registros de mercado ativo, 48.000 mercados gama e milhares de comentários vinculados a contas de usuários.

Registros adicionais incluem perfis de seguidores, identificadores internos de usuários e relatórios vinculados a endereços Ethereum. O tamanho total do conjunto de dados foi descrito como aproximadamente 750 MB na forma extraída. Uma versão comprimida de cerca de 8,3 MB também foi compartilhada.

Métodos e Vulnerabilidades Citadas

Notavelmente, o ator afirma que os dados foram obtidos por meio de múltiplas fraquezas técnicas. Esses incluem endpoints de API não documentados, bypass de paginação e uma má configuração de compartilhamento de recursos entre origens.

A postagem também mencionou várias vulnerabilidades, incluindo um bypass de autenticação em Next.js middleware e um problema de falsificação de solicitação no lado do servidor vinculado ao Axios.

Exploits de prova de conceito foram incluídos no lançamento. O pacote também inclui um script automatizado que extrai continuamente dados frescos da plataforma. Segundo o ator, alguns endpoints eram acessíveis sem autenticação e podiam ser consultados repetidamente sem limites de taxa.

A postagem ainda afirma que certos endpoints expuseram perfis completos de usuários, conexões sociais e registros de atividade. Essas afirmações não foram verificadas de forma independente.

Polymarket nega qualquer violação

No entanto, a Polymarket rejeitou as alegações e contestou a caracterização do incidente. Em sua resposta, a empresa afirmou que nenhum dado privado foi vazado ou comprometido. Afirmou que todas as informações referenciadas já são publicamente acessíveis por meio de suas APIs e sistemas baseados em blockchain.

A plataforma enfatizou que a transparência é uma característica central da infraestrutura descentralizada. Argumentou que os dados em questão podem ser acessados livremente sem explorar nenhum sistema protegido. A empresa descreveu as alegações como uma deturpação de como sua plataforma opera.

A Polymarket também abordou as alegações de que não possui um programa de recompensa por bugs. Confirmou que opera um programa ativo com recompensas de até 5 milhões de dólares para descobertas críticas. A empresa esclareceu que acessar endpoints públicos não se qualifica como vulnerabilidade segundo suas regras.

Relacionado: Como golpistas de criptomoedas com IA drenaram as economias de $300 mil de um aposentado