Jak wynika z pojawiających się sygnałów, na jednym z popularnych forów informatycznych – jeśli można w ten sposób określić forum w Deep Webie poświęcone tematyce hakerskiej – opublikowano ogromny pakiet informacji, które miały zostać wykradzione z platformy Polymarket, zdecentralizowanego rynku prognostycznego, umożliwiającego obstawianie zakładów na temat wydarzeń ze świata przy użyciu stablecoinów. Informacje te, wraz z opisem metod ataku, zostały po prostu upublicznione, bez prób szantażowania platformy ani temu podobnych działań.
Wspomniany pakiet okazał się zawierać ponad 300 tys. rekordów danych oraz pięć działających exploitów w modelu proof-of-concept – łącznie aż 800 gigabajtów, wszystko zamieszczone w udostępnione w postaci gotowego do pobrania pliku .zip. Plik ten zamieścił internauta posługujący się pseudonimem „xorcat”. Rzeczony twierdzi, że 27 kwietnia 2026 roku wykradł te informacje z platformy. Według jego opisu, jego atak nie opierał się na pojedynczym, zaawansowanym wykorzystaniu luki, lecz na wykorzystaniu serii prostych błędów konfiguracyjnych w oprogramowaniu platformy.
Rynek predykcyjny pełen możliwości, także tych nieoficjalnych
Wśród wymienionych metod znalazły się: nieudokumentowane punkty końcowe interfejsu API (Application Programming Interface), obejście mechanizmu podziału na strony (pagination bypass) w interfejsie księgowania zleceń CLOB (Central Limit Order Book), a także błędna konfiguracja mechanizmu udostępniania zasobów między źródłami CORS (Cross-Origin Resource Sharing), umożliwiająca wykonywanie uwierzytelnionych żądań międzyźródłowych. Sprawca twierdzi, że nie musiał pokonywać skomplikowanych zabezpieczeń, a jedynie wykorzystał „możliwości” stwarzane przez Polymarket.
„Xorcat” zaznaczył, że nie kontaktował się z samą platformą przed publikacją danych, i nie powiadomił jej o wykrytych przez siebie lukach – jego zdaniem nie ma to sensu, Polymarket nie prowadzi bowiem programu nagród za zgłaszanie błędów w oprogramowaniu (bug bounty). Ten ostatni ze swej strony zaprzeczył, jakoby doszło do zhakowania platformy. W oficjalnym oświadczeniu Polymarket zadeklarował, ze dane objęte rzekomym wyciekiem są swobodnie dostępne dzięki transparentności blockchainu oraz otwartym interfejsom API – i dzięki temu mają one być publicznie weryfikowalne.
Jaka szansa, że Polymarket uczy się na błędach?
Odpowiedź ta jednak nie odnosi się bezpośrednio do konkretnych zarzutów dotyczących błędnych konfiguracji interfejsów API czy metod eksploatacji opisanych przez „xorcat”. Choć zatem Polymarket podkreśla, że żadne prywatne informacje nie zostały naruszone, a udostępnione dane są publiczne, to skala incydentu – 300 tys. rekordów – budzi pytania o potencjalne ryzyko dla użytkowników. Wśród udostępnionych materiałów znalazły się przecież tylko same dane, ale także gotowe skrypty eksploatacyjne, co może ułatwić kolejne ataki na platformę lub jej użytkowników.
Niezależna weryfikacja autentyczności udostępnionych w Deep Webie danych nie została jak dotąd przeprowadzona, a sam Polymarket nie opublikował szczegółowej analizy technicznej incydentu. Nie jest to pierwszy incydent związany z bezpieczeństwem tej platformy predykcyjnej. Całkiem niedawno znalazła się ona w centrum afery związanej z wyciekiem tajnych informacji, i to wielokrotnym. Z kolei w grudniu 2025 roku Polymarket przyznał, że doszło do naruszenia danych użytkowników, którego przyczyną była luka u zewnętrznego dostawcy uwierzytelniania.
Część użytkowników zgłaszała wówczas nieautoryzowany dostęp do kont i utratę środków. Polymarket zadeklarował wówczas, że problem został rozwiązany, a poszkodowani zostaną poinformowani. Jednak brak transparentności co do liczby poszkodowanych i skali strat pozostawił wiele pytań bez odpowiedzi. Nie brak obaw, że tym razem może być podobnie.