hashtelegraph.com
Polymarket — одна из крупнейших платформ для ставок на события — отвергла обвинения во взломе после того, как неизвестный хакер заявил о краже данных сотен тысяч пользователей и попытался продать их на форуме в даркнете.
Компания Vecert Analyzer и несколько аккаунтов в соцсети X, отслеживающих активность в даркнете, опубликовали скриншоты с форума DarkForums. На них пользователь под псевдонимом «xorcat» утверждал, что взломал платформу Polymarket и похитил более 300 000 записей — в том числе 10 000 уникальных профилей с полными именами и адресами прокси-кошельков.
Polymarket отреагировала жестко: компания назвала заявления о взломе «полной чепухой» и пояснила, что вся якобы похищенная информация и так находится в открытом доступе. «Вы «взломали» нашу платформу, обратившись к публичным API-эндпоинтам и данным в блокчейне, и пытаетесь продать то, что мы предлагаем разработчикам бесплатно?» — говорится в официальном ответе компании. Там же подчеркивается, что прозрачность блокчейна — это осознанное архитектурное решение, а не уязвимость.
По словам xorcat, данные были получены через недокументированные API-эндпоинты, обход постраничной навигации и некорректную настройку CORS в Polymarket Gamma и CLOB API. В качестве мотива хакер назвал отсутствие у платформы программы багбаунти — вознаграждения за обнаруженные уязвимости. Однако это утверждение также не соответствует действительности: программа багбаунти на Polymarket была запущена 16 апреля и к среде уже получила 446 отчетов.
Xorcat также заявил, что взломал и другие платформы предсказаний и намерен опубликовать их данные в течение нескольких ближайших дней.
Эксперты сомневаются в реальности взлома
Среди специалистов по безопасности слова xorcat доверия не вызвали. Владимир С., исследователь угроз и директор по информационной безопасности компании Legalblock, считает, что речь, по всей видимости, идет о парсинге публичных данных с попыткой выдать их за утечку из базы данных. «Мне это не кажется правдоподобным», — отметил он.
Мнение ИИ
С точки зрения машинного анализа данных, ситуация вокруг Polymarket демонстрирует классическую проблему открытых блокчейн-систем: публичность данных, которая является архитектурным преимуществом, одновременно создаёт почву для манипуляций с восприятием. Любой, кто умеет работать с API, технически способен собрать массив публичных записей и представить его как результат взлома — и именно этот сценарий, судя по всему, здесь и реализован.
Показательный вопрос для размышления: если данные изначально общедоступны, где проходит юридическая и этическая граница между «парсингом» и «кражей данных» — и кто должен её определять?