Polymarket đã bác bỏ các cáo buộc về việc rò rỉ dữ liệu sau khi một hacker có tên xorcat đăng tải 300,000 bản ghi trên một diễn đàn tội phạm mạng. Sàn dự đoán phi tập trung này cho biết các thông tin này thực chất đều công khai thông qua API và lịch sử on-chain của họ.
Người đăng tải, được phát hiện bởi tài khoản theo dõi Dark Web Informer, cho biết đã lấy được hồ sơ người dùng, bình luận, dữ liệu thị trường cũng như mã khai thác lỗ hổng. Polymarket đã phản hồi và nói rằng thông tin này là tính năng chứ không phải lỗi bảo mật.
Dữ liệu người dùng Polymarket bị rò rỉ?
Bài viết trên diễn đàn quảng cáo một gói dữ liệu 750 MB bao gồm khoảng 10,000 hồ sơ người dùng, 4,111 bình luận, 48,536 thị trường từ Gamma API của Polymarket, cùng hơn 250,000 thị trường đang hoạt động từ CLOB API của họ.
Bên cạnh đó, hacker còn đưa vào danh sách người theo dõi, các cấu hình phần thưởng và mã định danh người dùng nội bộ.
Ngoài dữ liệu thô, bộ dữ liệu này còn được cho là có bao gồm các mã khai thác thử nghiệm. Những mã này liên quan đến lỗi vượt kiểm tra proxy Axios với mã CVE-2025-62718, cấu hình sai CORS ở CLOB API, lỗi vượt xác thực middleware trên Next.js, và một lỗi phân trang cho phép gửi truy vấn không giới hạn số lượng.
Bài đăng này nhấn mạnh lỗ hổng kiểm soát truy cập trên Polymarket, đồng thời cho rằng nền tảng không có chương trình bug bounty và cũng chưa từng được thông báo trước khi bị công bố thông tin.
Phản hồi của Polymarket
Polymarket đã nhanh chóng lên tiếng chỉ sau vài giờ. Trong thông báo trên X, nền tảng khẳng định toàn bộ dữ liệu bị nhắc đến đều có thể kiểm tra trên blockchain hoặc truy cập qua các endpoint API đã được công bố rõ ràng.
“Một trong những điểm mạnh của việc hoạt động on-chain là tất cả dữ liệu đều công khai và kiểm tra được… đây là một tính năng, không phải lỗi. Không có dữ liệu nào bị ‘rò rỉ’ — mọi thứ đều có thể truy cập qua các endpoint công cộng & dữ liệu on-chain của chúng tôi.”
Đội ngũ cũng nhấn mạnh rằng các nhà nghiên cứu không cần trả tiền cho người đăng trên diễn đàn này để sở hữu bộ dữ liệu đó, bởi mọi thông tin đều đã được giao thức đăng tải miễn phí. Họ cũng hướng dẫn người dùng truy cập vào tài liệu hướng dẫn API của mình.
Giới hạn của chương trình bug bounty
Polymarket cũng bác bỏ ý kiến về việc không có bug bounty. Nền tảng cho biết hiện có chương trình bug bounty trị giá 5 triệu USD hợp tác cùng Cantina, nhưng lưu ý rằng các phát hiện chỉ liên quan đến việc trích xuất dữ liệu từ API công khai thì sẽ không được thưởng.
Chỉ những báo cáo liên quan trực tiếp đến việc phát hiện lỗ hổng thực sự ảnh hưởng tài sản, hợp đồng thông minh hoặc dữ liệu riêng tư của người dùng mới đủ điều kiện nhận thưởng.
Vụ việc này phản ánh những mâu thuẫn lặp đi lặp lại giữa các sàn dự đoán cùng các nền tảng blockchain khác, nơi ranh giới giữa “công khai” và “rò rỉ” dữ liệu trở nên rất mong manh do đặc tính minh bạch của công nghệ sổ cái số.
Quan điểm của Polymarket cho thấy họ không đánh giá cao rủi ro từ việc công khai hoạt động thị trường trên nền tảng này. Phản hồi này cũng có thể ảnh hưởng đến cách các báo cáo bảo mật liên quan đến Polymarket được truyền tải trong tương lai.
