Polymarketは、xorcatと名乗る脅威者がサイバー犯罪フォーラムで30万件のレコードを公開した件について、情報流出ではないと主張した。分散型予測市場である同社は、当該情報が同社APIおよびオンチェーン履歴を通じて誰でも入手可能であると述べた。
この脅威者は、ダークウェブの監視アカウントであるDark Web Informerによって発見され、ユーザープロフィール、コメント、市場データ、エクスプロイトコードを抽出したと主張した。Polymarketは、今回の開示を脆弱性ではなく「仕様」だと反論した。
Polymarketのユーザーデータ流出か
フォーラムでは、PolymarketのGamma APIから約1万件のユーザープロフィール、4111件のコメント、4万8536件の市場データ、およびCLOB APIから25万件超のアクティブ市場を含む750MBのデータパックが案内された。
この脅威者は、フォロワーリスト、リワード設定、内部ユーザー識別子も公開した。
生データに加え、パッケージには概念実証用エクスプロイトも含まれるという。内容は、CVE-2025-62718として追跡されるAxiosプロキシバイパス、CLOB APIのCORS設定ミス、Next.jsミドルウェア認証バイパス、さらには無制限のクエリサイズを許容するページネーションの不備だった。
投稿者は、これら漏洩をPolymarketのアクセス制御不備の証拠と位置付け、同プラットフォームにはバグ報奨金プログラムが存在せず、事前通告もなかったと主張した。
Polymarketの対応
Polymarketは数時間以内に反論した。X(旧Twitter)上の声明で、投稿で言及されたすべてのデータはオンチェーン上で検証可能、あるいは公開APIから取得できる情報であると述べた。
「オンチェーン上であることの利点の1つは、すべてのデータが公開監査可能であることだ――これはバグではなく機能。いかなるデータも『漏洩』していない――すべて我々の公開エンドポイントとオンチェーンデータからアクセス可能」
チームは、研究者はこの情報の入手にフォーラムの売り手へ金銭を支払う必要はないと付け加えた。プロトコルによってすでに無料で公開されているためだ。利用者にはAPIドキュメントの参照を促した。
バグ報奨金の範囲
Polymarketはバグ報奨金が存在しないとの主張も否定した。同社はCantinaと提携し500万ドル規模のプログラムを提供していると強調。公開APIのスクレイピングは対象外と明言した。
正当な報奨対象は、資金、コントラクト、プライベートユーザーデータに影響を及ぼす確認済みの脆弱性に限定される。
今回のような論争は、予測市場や他のオンチェーンプラットフォーム全般でたびたび見られる傾向。透明性の高い台帳では、情報の「公開」と「発見」の境界があいまいになりがちだ。
Polymarketの対応は、市場活動の情報公開を今後も進める姿勢を示す。今回の反応が今後のプラットフォーム関連報告のあり方に影響を与える可能性がある。
