Polymarket Odrzuca Twierdzenia Hakerów, Dane Pozostają Publiczne

Polymarket, platforma rynków predykcyjnych, odparła falę doniesień o naruszeniu danych po tym, jak post w dark webie rzekomo ujawnił prywatne dane użytkowników. Haker posługujący się pseudonimem „xorcat" oraz konta zajmujące się cyberbezpieczeństwem krążące na X twierdziły, że skradziono ponad 300 000 rekordów, w tym 10 000 pełnych profili zawierających imiona i nazwiska, zdjęcia profilowe, portfele proxy oraz adresy bazowe. Polymarket określił te zarzuty jako „kompletny i absolutny nonsens", argumentując, że przytaczane informacje są już publicznie dostępne.

Kontrowersje pojawiły się w momencie, gdy społeczność zajmująca się bezpieczeństwem kryptowalut oraz rynki on-chain monitorują falę włamań i ujawnień danych z ostatniego miesiąca. Hakerzy i błędne konfiguracje przyczyniły się do szeregu incydentów — Hacken poinformował, że projekty Web3 straciły łącznie około 482 milionów dolarów w wyniku włamań i oszustw w 44 zdarzeniach w pierwszym kwartale 2026 roku. To tło nasiliło kontrolę nad tym, ile danych jest ujawnianych przez systemy on-chain i dostępne przez API oraz co stanowi naruszenie, a co jest audytowalną publiczną powierzchnią danych.

Stanowisko Polymarket zostało wzmocnione bezpośrednią ripostą na X, gdzie zespół stwierdził, że twierdzenia o naruszeniu to „kompletny i absolutny nonsens" i zauważył, że rzekomo skradzione dane są już dostępne online. W innym poście Polymarket podkreślił charakter on-chain i publicznie audytowalną naturę swoich danych: „Częścią piękna bycia on-chain jest to, że wszystkie nasze dane są publicznie audytowalne — to funkcja, nie błąd. Żadne dane nie wyciekły, są dostępne za pośrednictwem naszych publicznych punktów końcowych i danych on-chain. Zamiast płacić za dane, możesz uzyskać do nich dostęp za darmo przez nasze API."

Twierdzenia hakera koncentrowały się na naruszeniach poprzez rzekomo skompromitowane punkty końcowe API i dane on-chain, z twierdzeniami, że wykorzystano nieudokumentowane punkty końcowe API, obejście paginacji oraz błędne konfiguracje CORS w API Gamma i CLOB Polymarket. Atakujący sugerował również plany ujawnienia dalszych danych z innych rynków predykcyjnych w nadchodzących dniach.

Kilku badaczy bezpieczeństwa wyraziło sceptycyzm wobec historii o naruszeniu. Vladimir S., badacz zagrożeń i dyrektor ds. bezpieczeństwa w Legalblock, ostrzegł, że dowody sugerują, iż dane zostały przetworzone (sparsowane), a nie wyciekły w wyniku prawdziwego naruszenia, opisując ten scenariusz jako mało prawdopodobne odzwierciedlenie rzeczywistego włamania do bazy danych.

Kluczowe wnioski

• Incydent koncentruje się na twierdzeniu o kradzieży danych z Polymarket, które operator odrzuca jako nieprawdziwe, twierdząc, że zgłaszane dane są publicznie dostępne i już opublikowane.
• Polymarket utrzymuje, że jego dane pozostają on-chain i są publicznie audytowalne, podkreślając, że deweloperzy i użytkownicy mogą uzyskać dostęp do informacji bezpłatnie za pośrednictwem publicznych API.
• Platforma odpiera narrację o braku programu bug bounty, wskazując na działający program, który rozpoczął się 16 kwietnia i od tego czasu otrzymał setki zgłoszeń — co rodzi pytania o czas i zakres rzekomego ujawnienia danych.
• Kontekst branżowy ma znaczenie: hakerzy i błędne konfiguracje przyczyniły się do szerokiej fali incydentów bezpieczeństwa w obszarze kryptowalut w pierwszym kwartale 2026 roku, podkreślając ciągłą podatność sektora na wycieki danych i luki w kontroli dostępu.
• Sceptycy twierdzą, że twierdzenie może odzwierciedlać parsowanie danych lub błędną interpretację, a nie prawdziwe naruszenie, uwypuklając napięcie między transparentnością on-chain a ujawnianiem wrażliwych danych na poziomie użytkownika.

Odpowiedź Polymarket i debata o dostępie do danych

W centrum sporu jest twierdzenie Polymarket, że nie doszło do naruszenia danych i że informacje przytaczane przez hakera są już publiczne. W postach obserwowanych na X platforma argumentowała, że publicznie dostępne punkty końcowe API i dostępność danych on-chain oznaczają, że użytkownicy i deweloperzy mogą pobierać te same dane bez włamania. Stanowisko firmy wpisuje się w szerszą debatę w świecie kryptowalut: kiedy aktywność on-chain jest z natury publiczna i audytowalna, w którym momencie ujawnienie staje się naruszeniem, a nie cechą projektową architektury?

Giełda wskazała również na swoją strategię API, sugerując, że dane rzekomo skradzione są dostępne dla każdego za pośrednictwem jej API, a nie stanowią naruszenia bezpieczeństwa. To ujęcie wywołało mieszane reakcje w społeczności bezpieczeństwa — część ekspertów uznała publiczny charakter pewnych danych, podczas gdy inni przestrzegają, że ujawnianie wrażliwych metadanych użytkowników — zwłaszcza w połączeniu z adresami portfeli i identyfikatorami profili — może budzić obawy dotyczące prywatności, nawet jeśli technicznie są publiczne.

Poza specyfiką Polymarket, epizod ten dotyka długotrwałego problemu infrastruktury kryptowalutowej: jak równoważyć otwartość i audytowalność z ochroną prywatności użytkowników. Dane on-chain i dostęp oparty na API mogą umożliwiać szybką weryfikację i przejrzystość, ale mogą też poszerzać powierzchnię zbierania danych i potencjalnego nadużycia, jeśli nie są odpowiednio kontrolowane lub anonimizowane. Tocząca się dyskusja podkreśla, dlaczego platformy muszą wyraźnie określać, jakie dane są publicznie widoczne, a jakie są uznawane za wrażliwe lub zastrzeżone.

Program bug bounty i postawa bezpieczeństwa

Kluczowym kontrargumentem wobec narracji „brak bug bounty" jest ogłoszony przez Polymarket program bug bounty. Platforma wskazuje na działającą inicjatywę, która rozpoczęła się 16 kwietnia i od tego czasu zebrała setki zgłoszeń — 446, według najnowszej aktualizacji. Ten rytm sugeruje aktywne wysiłki na rzecz identyfikacji i usuwania luk w zabezpieczeniach, nawet gdy obecny epizod rozgrywa się na oczach opinii publicznej. Istnienie formalnego programu bug bounty może być sygnałem dojrzałości bezpieczeństwa, ale jednocześnie zaprasza do kontroli zakresu zgłaszania błędów i szybkości wprowadzania poprawek w szybko zmieniającym się środowisku zagrożeń.

Obserwatorzy branżowi będą śledzić, czy nowe luki lub błędne konfiguracje będą nadal pojawiać się w warstwach API Polymarket, czy też obecny epizod pozostanie ograniczony do błędnej interpretacji publicznie dostępnych danych. Interakcja między aktywnością bug bounty, harmonogramami ujawniania i reakcją na incydenty pozwoli ocenić, jak szybko platforma może odbudować zaufanie w przypadku pojawienia się rzeczywistych problemów.

Tło branżowe: incydenty bezpieczeństwa i transparentność on-chain

Szerszy krajobraz bezpieczeństwa kryptowalut dodaje kontekst do epizodu Polymarket. Hakerzy i błędne konfiguracje wysunęły bezpieczeństwo Web3 na pierwszy plan, a pierwszy kwartał 2026 roku przyniósł znaczne straty w licznych incydentach. Choć łączne straty i liczba incydentów różnią się w zależności od źródła, trend ilustruje, że nawet ugruntowane rynki i platformy predykcyjne pozostają atrakcyjnymi celami dla atakujących poszukujących przewagi informacyjnej lub finansowej.

Analitycy zauważają, że publiczny charakter danych on-chain może być bronią obosieczną: umożliwia szybką weryfikację i rozliczalność, ale może też komplikować kwestie prywatności, jeśli informacje identyfikujące użytkownika splatają się z przejrzystymi danymi transakcyjnymi. W tym środowisku platformy propagujące otwartość muszą również zapewniać solidne kontrole dostępu, staranne minimalizowanie danych i jasne polityki prywatności skierowane do użytkowników, aby sprostać ewoluującym oczekiwaniom regulacyjnym i rynkowym.

W miarę jak narracja wokół Polymarket ewoluuje, obserwatorzy będą chcieli zobaczyć, jak platforma reaguje na bieżącą kontrolę, czy publikuje więcej szczegółów technicznych dotyczących konfiguracji API i zabezpieczeń oraz jak komunikuje wszelkie przyszłe ustalenia wynikające z ujawnień bug bounty. Raporty badaczy bezpieczeństwa, operatorów giełd i niezależnych badaczy będą nadal kształtować postrzeganie przez rynek wiarygodności danych na popularnych platformach predykcyjnych.

W swoich doniesieniach z tego tygodnia Cointelegraph oparł się na ocenie Hackena dotyczącej krajobrazu bezpieczeństwa tego okresu, podkreślając, że pierwszy kwartał 2026 roku przyniósł znaczną liczbę exploitów w przestrzeni Web3. Zbieżność publicznej dostępności danych i głośnych narracji o włamaniach wyraźnie pokazuje, dlaczego inwestorzy i twórcy przykładają coraz większą wagę do tego, jak platformy radzą sobie z ujawnianiem danych, bezpieczeństwem API i reagowaniem na incydenty w czasie rzeczywistym.

Źródło: posty Polymarket na X, komentarze badaczy cyberbezpieczeństwa oraz dane branżowe cytowane przez Hacken i Cointelegraph.

Polymarket jest zaangażowany w niezależne, przejrzyste dziennikarstwo. Niniejszy artykuł jest zgodny z polityką redakcyjną Cointelegraph i ma na celu dostarczanie dokładnych i aktualnych informacji. Zachęca się czytelników do samodzielnej weryfikacji informacji.

Ten artykuł został pierwotnie opublikowany jako Polymarket Refutes Hacker Claims, Data Remains Public na Crypto Breaking News – Twoim zaufanym źródle informacji o kryptowalutach, Bitcoin i aktualizacjach blockchain.