Polymarket спростовує заяви хакерів, дані залишаються публічними

Polymarket, платформа ринків прогнозів, відкинула хвилю повідомлень про витік даних після того, як публікація в дарквебі заявила про розкриття приватних даних користувачів. Хакер під псевдонімом «xorcat» та акаунти з питань кібербезпеки, що розповсюджувались в X, стверджували про крадіжку понад 300 000 записів, включно з 10 000 повних профілів з іменами, зображеннями профілів, проксі-гаманцями та базовими адресами. Polymarket охарактеризував звинувачення як «повну нісенітницю», стверджуючи, що зазначена інформація вже є загальнодоступною.

Суперечка виникла на тлі того, як спільнота з безпеки у крипто та ончейн ринки відстежують хвилю зламів і витоків даних минулого місяця. Хакери та неправильні конфігурації спричинили широкий спектр інцидентів: Hacken повідомив, що проєкти Web3 втратили приблизно 482 мільйони доларів у результаті зламів і шахрайства в рамках 44 подій у першому кварталі 2026 року. Це підвищило увагу до того, скільки даних розкривають ончейн та доступні через API системи, і що вважати зломом, а що — відкритою публічною поверхнею даних, доступною для аудиту.

Позицію Polymarket підкріпило пряме спростування в X, де команда назвала заяви про злом «повною нісенітницею» та зазначила, що нібито викрадені дані вже доступні в інтернеті. В іншій публікації Polymarket наголосив на ончейн та публічно перевіреній природі своїх даних: «Одна з переваг перебування в мережі — всі наші дані є публічно перевіреними, це особливість, а не помилка. Жодні дані не були злиті — вони доступні через наші публічні ендпоінти та ончейн дані. Замість того щоб платити за дані, ви можете отримати їх безкоштовно через наші API».

Заява хакера стосувалася зломів через нібито скомпрометовані API-ендпоінти та ончейн дані, із твердженнями про експлуатацію недокументованих API-ендпоінтів, обходу пагінації та неправильних конфігурацій CORS в API Gamma та CLOB від Polymarket. Зловмисник також заявив про плани оприлюднити більше даних з інших ринків прогнозів найближчими днями.

Кілька дослідників з безпеки висловили скептицизм щодо історії про злом. Владімір С., дослідник загроз та директор з інформаційної безпеки Legalblock, застеріг, що докази вказують на парсинг даних, а не на їх витік у результаті справжнього злому, описуючи сценарій як малоймовірний для реального компромісу бази даних.

Ключові висновки

• Інцидент зосереджений навколо заяви про крадіжку даних з Polymarket, яку оператор відкидає як неправдиву, стверджуючи, що повідомлені дані є загальнодоступними та вже опублікованими.
• Polymarket стверджує, що його дані залишаються ончейн та публічно перевіреними, наголошуючи, що розробники та користувачі можуть отримувати інформацію безкоштовно через публічні API.
• Платформа спростовує наратив про відсутність програми винагороди за виявлення помилок (bug bounty), зазначаючи про діючу програму, що розпочалась 16 квітня та відтоді отримала сотні звітів, — що ставить запитання щодо хронології та масштабу заявленого витоку даних.
• Галузевий контекст важливий: хакери та неправильні конфігурації спричинили широку хвилю інцидентів з безпеки у крипто в першому кварталі 2026 року, підкреслюючи постійну вразливість сектору до витоків даних і недоліків контролю доступу.
• Скептики стверджують, що заява може відображати парсинг або неправильну інтерпретацію даних, а не справжній злом, підкреслюючи напругу між ончейн прозорістю та розкриттям чутливих даних на рівні користувача.

Відповідь Polymarket та дискусія щодо доступу до даних

У центрі суперечки — твердження Polymarket про відсутність витоку даних і те, що інформація, на яку посилається хакер, вже є публічною. У публікаціях на X платформа стверджувала, що загальнодоступні API-ендпоінти та доступність ончейн даних означають, що користувачі та розробники можуть отримати ті самі дані без будь-якого вторгнення. Позиція компанії узгоджується з ширшою дискусією у крипто: якщо ончейн активність є за своєю природою публічною та перевіреною, то в якому разі розкриття стає зломом, а не конструктивною особливістю архітектури?

Платформа також посилалась на свою API-стратегію, стверджуючи, що дані, які нібито були вкрадені, доступні будь-кому через її API, а не є результатом компромісу безпеки. Таке трактування викликало неоднозначну реакцію у спільноті з безпеки: одні експерти визнають публічний характер певних даних, тоді як інші застерігають, що розкриття чутливих метаданих користувача — особливо у поєднанні з адресами гаманців та ідентифікаторами профілів — може викликати занепокоєння щодо конфіденційності, навіть якщо вони технічно є публічними.

Поза специфікою Polymarket, цей епізод торкається давнішої проблеми крипто-інфраструктури: як збалансувати відкритість і можливість перевірки із захистом конфіденційності користувачів. Ончейн дані та доступ через API можуть забезпечити швидку верифікацію та прозорість, але водночас можуть розширити поверхню збору даних і потенційного зловживання ними, якщо вони не контролюються належним чином або не є анонімізованими. Поточна дискусія підкреслює, чому платформи повинні чітко розмежовувати, які дані є публічно видимими, а які вважаються чутливими або обмеженими.

Програма bug bounty та стан безпеки

Головним контраргументом наративу про «відсутність bug bounty» є заявлена програма винагороди за виявлення помилок від Polymarket. Платформа вказує на діючу ініціативу, що розпочалась 16 квітня та відтоді зібрала сотні звітів — 446, станом на останнє оновлення. Цей темп свідчить про активні зусилля з виявлення та усунення вразливостей, навіть у той час, коли поточний епізод розгортається на очах у публіки. Наявність формальної програми bug bounty може бути сигналом зрілості безпеки, але водночас запрошує до ретельнішого вивчення обсягу звітності про помилки та оперативності усунення недоліків у середовищі загроз, що швидко змінюється.

Галузеві спостерігачі стежитимуть за тим, чи продовжать нові вразливості або неправильні конфігурації з'являтись в API-шарах Polymarket, чи поточний епізод залишиться обмеженим хибним тлумаченням загальнодоступних даних. Взаємодія між активністю bug bounty, термінами розкриття інформації та реагуванням на інциденти покаже, наскільки швидко платформа може відновити довіру у разі виникнення реальних проблем.

Галузевий контекст: інциденти з безпеки та ончейн прозорість

Ширший ландшафт безпеки у крипто додає контексту до епізоду з Polymarket. Хакери та неправильні конфігурації висунули безпеку Web3 на перший план: у першому кварталі 2026 року зафіксовано значні втрати в численних інцидентах. Хоча загальні втрати та кількість інцидентів варіюються залежно від джерела, тенденція ілюструє, що навіть усталені ринки та платформи прогнозів залишаються привабливими цілями для зловмисників, які шукають перевагу в даних або фінансову вигоду.

Аналітики зазначають, що публічний характер ончейн даних може бути палицею з двома кінцями: він уможливлює швидку верифікацію та підзвітність, але може також ускладнити питання конфіденційності, якщо інформація, що ідентифікує користувача, переплітається з прозорими даними транзакцій. У цьому середовищі платформи, що пропагують відкритість, також повинні забезпечити надійний контроль доступу, ретельну мінімізацію даних і чіткі політики конфіденційності для користувачів, щоб орієнтуватись у вимогах регуляторів і ринку, що постійно змінюються.

У міру того, як наратив навколо Polymarket розвивається, спостерігачі захочуть побачити, як платформа реагує на поточну ретельну перевірку, чи публікує вона більше технічних деталей про конфігурації API та засоби контролю безпеки, і як повідомляє про будь-які майбутні знахідки з розкриттів у рамках bug bounty. Звіти дослідників безпеки, операторів бірж та незалежних дослідників продовжуватимуть формувати ринкове сприйняття надійності даних на популярних платформах прогнозів.

У репортажі цього тижня Cointelegraph спирався на оцінку Hacken щодо ландшафту безпеки за цей період, підкреслюючи, що перший квартал 2026 року відзначився значним обсягом експлойтів у просторі Web3. Збіг загальнодоступності даних і гучних наративів про злами чітко показує, чому інвестори та розробники приділяють більше уваги тому, як платформи обробляють розкриття даних, безпеку API та реагування на інциденти в режимі реального часу.

Джерело: публікації Polymarket в X, коментарі дослідників з кібербезпеки та галузеві дані, наведені Hacken і Cointelegraph.

Polymarket дотримується принципів незалежної та прозорої журналістики. Ця стаття відповідає редакційній політиці Cointelegraph і прагне надавати точну та своєчасну інформацію. Читачів заохочують самостійно перевіряти інформацію.

Ця стаття була спочатку опублікована як Polymarket Refutes Hacker Claims, Data Remains Public на Crypto Breaking News — вашому надійному джерелі новин про крипто, Bitcoin та оновлень блокчейну.