Polymarket réfute les affirmations des pirates, les données restent publiques

Polymarket, la plateforme de marchés prédictifs, a repoussé une vague de rapports allégant une violation de données après qu'une publication sur le dark web a prétendu exposer des informations privées d'utilisateurs. Un hacker utilisant le pseudonyme "xorcat" et des comptes de cybersécurité circulant sur X ont affirmé avoir volé plus de 300 000 enregistrements, dont 10 000 profils complets avec noms, images de profil, portefeuilles proxy et adresses de base. Polymarket a qualifié ces allégations de "complètes et absolues absurdités", affirmant que les informations citées sont déjà accessibles au public.

La controverse a émergé alors que la communauté de sécurité crypto et les Données on-chain surveillent une vague de piratages et d'expositions de données le mois dernier. Des hackers et des erreurs de configuration ont contribué à un large ensemble d'incidents, Hacken rapportant que les projets Web3 ont perdu environ 482 millions de dollars lors de piratages et d'escroqueries en ligne répartis sur 44 événements au premier trimestre 2026. Ce contexte a intensifié l'examen de la quantité de données exposées par les systèmes on-chain et accessibles via API, et de ce qui constitue une violation par rapport à une surface de données publique auditable.

La position de Polymarket a été renforcée par un démenti direct sur X, où l'équipe a déclaré que les allégations de violation étaient "complètes et absolues absurdités" et a noté que les données prétendument volées sont des informations déjà accessibles en ligne. Dans une autre publication, Polymarket a mis en avant la nature on-chain et publiquement auditable de ses données : "Une partie de la beauté d'être on-chain est que toutes nos données sont publiquement auditables, c'est une fonctionnalité, pas un bug. Aucune donnée n'a été divulguée, elle est accessible via nos points de terminaison publics et les Données on-chain. Au lieu de payer pour les données, vous pouvez y accéder gratuitement via nos API."

La revendication du hacker portait sur des violations via des points de terminaison API prétendument compromis et des Données on-chain, avec des affirmations que des points de terminaison API non documentés, le contournement de pagination et des erreurs de configuration CORS sur les API Gamma et CLOB de Polymarket avaient été exploités. L'attaquant a également évoqué des projets de publier davantage de données provenant d'autres marchés prédictifs dans les jours à venir.

Plusieurs chercheurs en sécurité ont exprimé leur scepticisme quant à l'histoire de la violation. Vladimir S., chercheur en menaces et directeur de la sécurité chez Legalblock, a mis en garde en indiquant que les preuves suggéraient que les données avaient été analysées plutôt que divulguées lors d'une véritable violation, décrivant le scénario comme peu susceptible de refléter un vrai compromis de base de données.

Points clés

• L'incident est centré sur une allégation de vol de données de Polymarket, que l'opérateur rejette comme fausse, affirmant que les données signalées sont accessibles au public et déjà publiées.
• Polymarket maintient que ses données restent on-chain et publiquement auditables, soulignant que les développeurs et les utilisateurs peuvent accéder aux informations gratuitement via des API publiques.
• La plateforme conteste le récit selon lequel il n'existait pas de programme de bug bounty, en mentionnant un programme actif démarré le 16 avril et ayant depuis reçu des centaines de rapports — soulevant des questions sur le calendrier et la portée de la prétendue exposition des données.
• Le contexte industriel est important : des hackers et des erreurs de configuration ont contribué à une large vague d'incidents de sécurité crypto au T1 2026, soulignant la vulnérabilité persistante du secteur aux fuites de données et aux failles de contrôle d'accès.
• Les sceptiques soutiennent que l'allégation pourrait refléter une analyse de données ou une mauvaise interprétation plutôt qu'une véritable violation, mettant en évidence la tension entre la transparence on-chain et l'exposition de données sensibles au niveau des utilisateurs.

La réponse de Polymarket et le débat sur l'accès aux données

Au cœur du litige se trouve l'affirmation de Polymarket selon laquelle il n'y a pas eu de violation de données et que les informations citées par le hacker sont déjà publiques. Dans des publications observées sur X, la plateforme a soutenu que des points de terminaison API accessibles au public et la disponibilité des Données on-chain signifient que les utilisateurs et les développeurs peuvent récupérer les mêmes données sans intrusion. La position de l'entreprise s'aligne sur un débat plus large dans la crypto : lorsque l'activité on-chain est intrinsèquement publique et auditable, à quel moment l'exposition devient-elle une violation plutôt qu'une caractéristique de conception de l'architecture ?

La plateforme a également mis en avant sa stratégie API, suggérant que les données présentées comme volées sont accessibles à tous via ses API plutôt que de représenter une compromission de sécurité. Ce cadrage a suscité des réactions mitigées de la communauté de sécurité, certains experts reconnaissant la nature publique de certaines données tandis que d'autres mettent en garde contre le fait qu'exposer des métadonnées utilisateur sensibles — notamment combinées à des adresses de portefeuille et des identifiants de profil — pourrait soulever des préoccupations de confidentialité même si techniquement publiques.

Au-delà des spécificités de Polymarket, l'épisode touche à un problème plus ancien dans l'infrastructure crypto : comment équilibrer l'ouverture et l'auditabilité avec la protection de la vie privée des utilisateurs. Les Données on-chain et l'accès basé sur des API peuvent permettre une vérification rapide et la transparence, mais ils peuvent également élargir la surface d'exposition pour la collecte de données et une utilisation abusive potentielle s'ils ne sont pas correctement contrôlés ou anonymisés. La discussion en cours souligne pourquoi les plateformes doivent clairement délimiter quelles données sont visibles publiquement par rapport à ce qui est considéré comme sensible ou restreint.

Programme de bug bounty et posture de sécurité

Un contrepoint central au récit "pas de bug bounty" est le programme de bug bounty déclaré de Polymarket. La plateforme indique une initiative active démarrée le 16 avril et ayant depuis recueilli des centaines de rapports — 446, selon la mise à jour la plus récente. Ce rythme suggère un effort actif pour identifier et corriger les vulnérabilités, même alors que l'épisode actuel se déroule sous les yeux du public. L'existence d'un programme de bug bounty formel peut être un signal de Maturité de sécurité continue, mais elle invite également à un examen attentif de la portée des rapports de bugs et de la réactivité des correctifs dans un environnement de menaces en rapide évolution.

Les observateurs du secteur surveilleront si de nouvelles vulnérabilités ou erreurs de configuration continuent de faire surface dans les couches API de Polymarket ou si l'épisode actuel reste limité à une mauvaise interprétation des données accessibles au public. L'interaction entre l'activité de bug bounty, les calendriers de divulgation et la réponse aux incidents offrira une indication sur la rapidité à laquelle la plateforme peut regagner la confiance si de véritables problèmes émergent.

Contexte industriel : incidents de sécurité et transparence on-chain

Le paysage plus large de la sécurité crypto apporte un contexte à l'épisode Polymarket. Des hackers et des erreurs de configuration ont poussé la sécurité Web3 au premier plan, avec le T1 2026 enregistrant des pertes notables lors de nombreux incidents. Bien que les pertes totales et le nombre d'incidents varient selon les sources, la tendance illustre que même les Marchés établis et les plateformes de prédiction restent des cibles attrayantes pour les attaquants cherchant un avantage en termes de données ou financier.

Les analystes notent que la nature publique des Données on-chain peut être une arme à double tranchant : elle permet une vérification rapide et la responsabilité, mais peut également compliquer les considérations de confidentialité si les informations d'identification des utilisateurs s'entremêlent avec des données de transaction transparentes. Dans cet environnement, les plateformes qui prônent l'ouverture doivent également garantir des contrôles d'accès robustes, une minimisation soigneuse des données et des politiques de confidentialité claires à destination des utilisateurs pour naviguer dans les attentes réglementaires et de marché en évolution.

Au fur et à mesure que le récit autour de Polymarket évolue, les observateurs voudront voir comment la plateforme répond à l'examen continu, si elle publie plus de détails techniques sur ses configurations API et ses contrôles de sécurité, et comment elle communique les futures conclusions des divulgations de bug bounty. Les rapports des chercheurs en sécurité, des opérateurs d'échanges et des chercheurs indépendants continueront de façonner les perceptions du marché sur la fiabilité des données sur les plateformes de prédiction populaires.

Dans son reportage de cette semaine, Cointelegraph s'est appuyé sur l'évaluation de Hacken du paysage de sécurité de la période, soulignant que le premier trimestre 2026 a vu un volume significatif d'exploits dans l'espace Web3. La confluence de l'accessibilité des données publiques et des récits de piratages très médiatisés montre clairement pourquoi les investisseurs et les constructeurs prêtent plus d'attention à la manière dont les plateformes gèrent l'exposition des données, la sécurité des API et la réponse aux incidents en temps réel.

Source : publications de Polymarket sur X, commentaires de chercheurs en cybersécurité et données sectorielles citées par Hacken et Cointelegraph.

Polymarket s'engage en faveur d'un journalisme indépendant et transparent. Cet article d'actualité respecte la politique éditoriale de Cointelegraph et vise à fournir des informations précises et opportunes. Les lecteurs sont encouragés à vérifier les informations de manière indépendante.

Cet article a été initialement publié sous le titre Polymarket Réfute les Allégations du Hacker, les Données Restent Publiques sur Crypto Breaking News – votre source de confiance pour les actualités crypto, les actualités Bitcoin et les mises à jour blockchain.