- Злоумышленники утверждают, что более 300 000 записей Polymarket, извлечённых с помощью ошибок и эксплойтов API.
- Polymarket отрицает утечку, заявляя, что все ссылки на данные доступны публично через API и в сети.
- Спор подчёркивает напряжённость между требованиями по сбору данных и моделлю децентрализованной прозрачности.
Dark Web Informer, наблюдатель за киберпреступностью на X, отметил крупную утечку данных в Polymarket. Он утверждает, что более 300 000 записей были извлечены с помощью уязвимостей API. Тем временем Polymarket отвергла это утверждение, заявив, что данные доступны для общественности.
Предполагаемая утечка данных и детали эксплойта
Киберугроза, известный как «xorcat», заявил о крупномасштабном извлечении данных, связанном с Polymarket. Это утверждение появилось на форуме по киберпреступности и было усилено Dark Web Informer на X.
Согласно публикации, актёр выпустил набор данных, содержащий более 300 000 записей, а также набор эксплойтов и техническую документацию. Набор данных включает широкий спектр платформенных данных. Это включает около 10 000 профилей пользователей с такими деталями, как имена, псевдонимы, биографии, изображения профиля и адреса, связанные с кошельком.
В релизе также перечислены более 250 000 активных рыночных записей, 48 000 гамма-рынков и тысячи комментариев, связанных с аккаунтами пользователей.
Дополнительные записи включают профили подписчиков, внутренние идентификаторы пользователей и отчёты, связанные с адресами Ethereum. Общий размер набора данных был описан примерно как 750 МБ в извлеченном виде. Также была распространена сжатая версия примерно 8,3 МБ.
Методы и уязвимости, упомянутые
Примечательно, что актёр утверждает, что данные были получены через несколько технических недостатков. К ним относятся незадокументированные конечные точки API, обход страниц и неправильная конфигурация кросс-источникового совместного использования ресурсов.
В посте также упоминались несколько уязвимостей, включая обход аутентификации в Next.js промежуточном ПО и проблему с подделкой запросов на сервере, связанную с Axios.
В релиз были включены эксплойты для демонстрации концепции. Пакет также включает автоматический скрипт, который постоянно извлекает свежие данные с платформы. По словам актора, некоторые конечные точки были доступны без аутентификации и могли задавать повторные запросы без ограничений по скорости.
В посте также утверждается, что некоторые конечные точки раскрывали полные профили пользователей, социальные контакты и журналы активности. Эти утверждения не были независимо подтверждены.
Polymarket отрицает любые нарушения
Однако Polymarket отвергла эти заявления и оспарила характеристику инцидента. В ответе компания заявила, что никакие личные данные не были утечены или скомпрометированы. В ней отмечалось, что вся ссылаемая информация уже доступна публично через её API и системы на базе блокчейна.
Платформа подчеркнула, что прозрачность — это ключевая особенность децентрализованной инфраструктуры. В ней утверждалось, что рассматриваемые данные могут быть доступны свободно без эксплуатации защищённых систем. Компания охарактеризовала эти заявления как искажение того, как работает её платформа.
Polymarket также ответил на заявления о отсутствии программы вознаграждения за ошибки. Компания подтвердила, что реализует активную программу с вознаграждением до 5 миллионов долларов за критически важные находки. Компания уточнила, что доступ к публичным конечным точкам не считается уязвимостью по её правилам.
Связано: Как криптомошенники с помощью ИИ истощали сбережения пенсионера в размере 300 тысяч долларов
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
