Polymarket weist den Vorwurf einer Leckage von 300.000 Datensätzen zurück und erklärt, dass API-Daten öffentlich und prüfbar seien

Laut einem X-Posting vom 29. April von Polymarket hat das Sicherheitskonto Dark Web Informer eine Kompromittierung der dezentralen Prognosemarkt-Plattform Polymarket behauptet: Mehr als 300.000 Datensätze und ein Exploit-Toolset seien in Foren für Cyberkriminalität geleakt worden; Polymarket dementierte daraufhin in einem X-Statement und erklärte, alle On-Chain-Daten seien öffentlich und prüfbar.

Offizielle Reaktion von Polymarket

Laut einer Erklärung, die Polymarket am 29. April 2026 auf der X-Plattform veröffentlicht hat, gibt an, dass alle On-Chain-Daten der Plattform öffentlich und prüfbar seien, jeder könne über eine öffentliche API kostenlos darauf zugreifen, ohne bezahlen zu müssen. Polymarket bezeichnet dies in der Erklärung als „Funktion statt Bug (a feature, not a bug)“.

Polymarket weist außerdem darauf hin, dass die Plattform ein 5.000.000-US-Dollar-Preisgeldprogramm für Sicherheitslücken habe, was im Widerspruch zu der Behauptung des Angreifers stehe: „Polymarket hat kein Preisgeldprogramm“; und führt klar aus, dass das Verhalten, das die öffentlichen API-Endpunkte angreift, nicht berechtigt sei, Ansprüche auf das Preisgeld geltend zu machen.

Behauptungen und technische Details von Dark Web Informer

Laut einem X-Posting von Dark Web Informer auf der X-Plattform vom 29. April 2026 behauptet der Angreifer „xorcat“, er habe durch nicht öffentliche Endpunkte in den Gamma- und CLOB-APIs von Polymarket, Umgehung über Pagination sowie eine fehlerhafte CORS-Konfiguration die Datenerfassung am 27. April 2026 abgeschlossen. Die von Dark Web Informer offengelegten Daten zur behaupteten Größenordnung sind wie folgt:

· Insgesamt mehr als 300.000 Datensätze, nach dem Extrahieren etwa 750 MB, nach dem Komprimieren etwa 8,3 MB

· Etwa 10.000 eindeutige Nutzeraufzeichnungen mit vollständigen personenbezogenen Informationen (PII), einschließlich Name, Alias, Proxy-Wallet und Basisadresse

· 48.536 Gamma-Marktdatensätze mit vollständigen Metadaten

· Mehr als 250.000 aktive CLOB-Marktdatensätze mit FPMM-Adressen

Das Posting von Dark Web Informer listet zugleich die von dem Angreifer behaupteten technischen Schwachstellen auf, darunter CVE-2025-62718 (Axios NO_PROXY-Umgehung, CVSS-Bewertung 9,9), CLOB-API-CORS-Konfigurationsfehler (Ursprung des Platzhalters plus credentials=true) sowie mehrere nicht authentifizierte API-Endpunkte.

Hintergrund des Bug-Bounty-Programms von Polymarket

Laut der offiziellen Seite zum Bug-Bounty-Programm von Polymarket verfügt die Plattform über ein Bug-Bounty-Programm im Wert von 5.000.000 US-Dollar, das über die Spearbit/Cantina-Plattform für die Meldung von Sicherheitslücken angenommen wird. Es umfasst Schwachstellen in Smart Contracts und Webanwendungen; die Schweregrade werden in vier Stufen eingeteilt: kritisch, hoch, mittel und niedrig. Gemäß den Bedingungen des Programms fällt das Verhalten beim Angriff auf öffentliche API-Endpunkte nicht in den Geltungsbereich der Preisgeldberechtigung.

Häufige Fragen

Zu welchem Zeitpunkt wurde die Erklärung veröffentlicht, in der Polymarket eine Datenpanne bestreitet? Was ist das Kernargument?

Laut der Erklärung von Polymarket auf der X-Plattform vom 29. April 2026 weist die Plattform die Datenpanne zurück und sagt, dass alle On-Chain-Daten von Natur aus öffentlich und prüfbar seien, über eine öffentliche API kostenlos abrufbar, und führt an, dass das Angreifen öffentlicher API-Endpunkte nicht die Bedingungen für eine Bug-Bounty-Berechtigung erfüllt.

Welche Größenordnung der angeblich geleakten Daten und welches Extraktionsdatum behauptet Dark Web Informer?

Laut dem X-Posting von Dark Web Informer auf der X-Plattform vom 29. April 2026 behauptet der Angreifer, dass er am 27. April 2026 mehr als 300.000 Datensätze extrahiert habe, darunter etwa 10.000 Nutzeraufzeichnungen mit vollständigen personenbezogenen Informationen (PII) sowie mehr als 250.000 CLOB-Marktdatensätze.

Wie groß ist das Bug-Bounty-Programm von Polymarket und von welcher Plattform wird es verwaltet?

Laut der offiziellen Seite zum Bug-Bounty-Programm von Polymarket beträgt das Programmbudget 5.000.000 US-Dollar und nimmt Meldungen über die Spearbit/Cantina-Plattform entgegen; das Verhalten beim Angriff auf öffentliche API-Endpunkte fällt nicht in den Bereich der Bug-Bounty-Berechtigung.