Polymarket опровергает заявления хакера, данные остаются публичными

Polymarket, платформа предсказательных рынков, отвергла сообщения о всплеске слухов о утечке данных после поста в даркнете, в котором утверждалось, что раскрыты личные данные пользователей. Хакер под ником “xorcat” и аккаунты кибербезопасности, циркулирующие в X, заявили, что украли более 300 000 записей, включая 10 000 полных профилей с именами, изображениями профилей, прокси-кошельками и базовыми адресами. Polymarket охарактеризовал эти обвинения как «полную и абсолютную чепуху», утверждая, что указанная информация уже находится в публичном доступе.

Спор возник на фоне того, что сообщество кибербезопасности и рынки на блокчейне следят за волной взломов и утечек данных в прошлом месяце. Хакеры и неправильные настройки способствовали широкому спектру инцидентов, при этом Hacken сообщил, что Web3-проекты потеряли примерно 482 миллиона долларов из-за взломов и мошенничеств в 44 случаях в первом квартале 2026 года. Этот фон усилил внимание к тому, сколько данных раскрыто системами с доступом через API и на блокчейне, а также к тому, что считается нарушением или публичной доступной информацией, подлежащей аудиту.

Позицию Polymarket подкрепила прямая опровержение в X, где команда заявила, что утверждения о взломе — «полная и абсолютная чепуха», отметив, что якобы украденные данные — это уже доступная онлайн информация. В другом посте Polymarket подчеркнул на цепочке и в публичных источниках данных: «Часть красоты работы на блокчейне в том, что все наши данные публично доступны для аудита, это особенность, а не ошибка. Никакие данные не были утечены, они доступны через наши публичные конечные точки и на блокчейне. Вместо того чтобы платить за данные, вы можете получить их бесплатно через наши API.»

Заявление хакера сосредоточено на нарушениях через якобы скомпрометированные API-концы и данные на блокчейне, с утверждениями, что не задокументированные API-концы, обход пагинации и неправильные настройки CORS на API Gamma и CLOB Polymarket были использованы. Также злоумышленник заявил о планах выпустить больше данных из других предсказательных рынков в ближайшие дни.

Несколько исследователей безопасности выразили скептицизм по поводу истории о взломе. Владимир С., исследователь угроз и главный специалист по безопасности в Legalblock, предупредил, что доказательства указывают скорее на парсинг данных, а не на их утечку в результате настоящего взлома, описывая сценарий как маловероятный для реального компрометации базы данных.

Ключевые выводы

Инцидент связан с утверждением о краже данных с Polymarket, которое оператор отвергает как неправду, утверждая, что опубликованные данные уже доступны публично.

Polymarket утверждает, что его данные остаются на цепочке и доступны для публичного аудита, подчеркивая, что разработчики и пользователи могут бесплатно получать информацию через публичные API.

Платформа опровергает утверждение о том, что не было программы по поиску уязвимостей, отмечая, что программа, начавшаяся 16 апреля, уже получила сотни отчетов — что вызывает вопросы о времени и масштабе предполагаемой утечки данных.

Индустриальный контекст важен: хакеры и неправильные настройки способствовали широкой волне инцидентов в области безопасности криптовалют в первом квартале 2026 года, подчеркивая уязвимость сектора к утечкам данных и ошибкам контроля доступа.

Скептики считают, что утверждение может отражать парсинг данных или неправильное толкование, а не настоящий взлом, подчеркивая напряженность между прозрачностью на цепочке и раскрытием чувствительных пользовательских данных.

Ответ Polymarket и дебаты о доступе к данным

В центре спора — утверждение Polymarket о том, что не было утечки данных, а информация, представленная хакером, уже публична. В постах, замеченных в X, платформа утверждала, что публично доступные API-концы и наличие данных на цепочке позволяют пользователям и разработчикам получать те же данные без вторжения. Позиция компании согласуется с более широким дебатом в крипто: когда деятельность на цепочке по своей природе публична и подлежит аудиту, в какой момент раскрытие данных считается нарушением, а не характеристикой архитектуры?

Биржа также указала на свою стратегию API, предполагая, что данные, которые якобы украдены, доступны любому через их API, а не являются результатом нарушения безопасности. Эта позиция вызвала смешанные реакции в сообществе безопасности: одни эксперты признают публичный характер некоторых данных, другие предупреждают, что раскрытие чувствительных метаданных пользователей — особенно в сочетании с адресами кошельков и идентификаторами профилей — может вызвать опасения по поводу конфиденциальности, даже если данные технически публичны.

Помимо конкретных аспектов Polymarket, этот инцидент поднимает более долгосрочную проблему в инфраструктуре криптовалют: как сбалансировать открытость и возможность аудита с защитой приватности пользователей. Данные на цепочке и доступ через API позволяют быстро проверять и обеспечивать прозрачность, но также могут расширять поверхность для сбора данных и потенциального злоупотребления, если не контролировать их должным образом или не анонимизировать. Этот дискурс подчеркивает необходимость четко разграничивать, какая информация видна публично, а какая считается чувствительной или ограниченной.

Программа по поиску уязвимостей и безопасность

Основной контраргумент против идеи отсутствия программы по поиску уязвимостей — это заявленная программа bug bounty Polymarket. Платформа указывает, что действует программа, начавшаяся 16 апреля, и за это время было собрано сотни отчетов — 446 по последним данным. Этот факт свидетельствует о активных усилиях по выявлению и устранению уязвимостей, даже несмотря на то, что текущий инцидент происходит на публике. Наличие формальной программы bug bounty может свидетельствовать о зрелости безопасности, но также вызывает вопросы о масштабе отчетов и скорости исправлений в условиях быстро меняющейся угрозы.

Индустриальные наблюдатели будут следить за тем, появятся ли новые уязвимости или неправильные настройки в API Polymarket или если текущий инцидент — лишь неправильное толкование публичных данных. Взаимодействие между активностью по поиску уязвимостей, сроками раскрытия и реагированием на инциденты даст представление о том, насколько быстро платформа сможет восстановить доверие, если действительно возникнут проблемы.

Обзор отрасли: инциденты безопасности и прозрачность на цепочке

Более широкий контекст безопасности криптовалют добавляет понимания к ситуации Polymarket. Хакеры и неправильные настройки способствовали волне инцидентов в области безопасности Web3 в первом квартале 2026 года, что подчеркивает уязвимость сектора к утечкам данных и ошибкам контроля доступа.

Аналитики отмечают, что публичный характер данных на цепочке — это острый меч: он обеспечивает быструю проверку и ответственность, но также усложняет вопросы приватности, если идентифицируемая информация пользователя переплетается с прозрачными транзакциями. В этой среде платформы, пропагандирующие открытость, должны также обеспечивать надежные механизмы контроля доступа, аккуратное минимизирование данных и ясные политики конфиденциальности, чтобы соответствовать меняющимся нормативным и рыночным ожиданиям.

По мере развития истории вокруг Polymarket наблюдатели захотят увидеть, как платформа реагирует на постоянное внимание, публикует ли она дополнительные технические детали о конфигурациях API и мерах безопасности, а также как сообщает о будущих результатах по раскрытиям уязвимостей. Отчеты исследователей безопасности, операторов бирж и независимых экспертов продолжат формировать восприятие рынка относительно надежности данных на популярных предсказательных платформах.

В этом выпуске Cointelegraph опирался на оценку Hacken о ситуации в области безопасности за период, подчеркивая, что первый квартал 2026 года отметился значительным объемом эксплойтов в пространстве Web3. Совпадение публичной доступности данных и громких историй о взломах ясно показывает, почему инвесторы и разработчики уделяют больше внимания тому, как платформы управляют утечками данных, безопасностью API и реагированием на инциденты в реальном времени.

Источник: посты Polymarket в X, комментарии исследователей кибербезопасности и отраслевые данные, цитируемые Hacken и Cointelegraph.

Polymarket привержен независимой, прозрачной журналистике. Эта статья соответствует редакционной политике Cointelegraph и направлена на предоставление точной и своевременной информации. Читателям рекомендуется самостоятельно проверять полученную информацию.

Эта статья была опубликована изначально под названием Polymarket опровергает заявления хакера, данные остаются публичными в Crypto Breaking News — вашем надежном источнике новостей о криптовалютах, биткоине и блокчейне.