De acuerdo con una publicación en X del 29 de abril realizada por Polymarket, la cuenta de seguridad Dark Web Informer acusó a la plataforma de predicción descentralizada Polymarket de haber sido comprometida, y señaló que más de 300.000 registros y un kit de explotación de vulnerabilidades fueron filtrados en foros de ciberdelincuencia; Polymarket rechazó de inmediato las acusaciones en X, y afirmó que todos los datos on-chain son públicos y auditables.
Respuesta oficial de Polymarket
Según un comunicado publicado por Polymarket en la plataforma X el 29 de abril de 2026, la plataforma afirma que todos sus datos on-chain son públicos y auditables; cualquiera puede obtenerlos gratuitamente mediante la API pública, sin necesidad de pagar. En el comunicado, Polymarket lo califica como «una característica, no un fallo (a feature, not a bug)».
Polymarket también señaló que la plataforma cuenta con un programa de recompensas por vulnerabilidades de 5 millones de dólares, lo cual contradice la afirmación del atacante de que «Polymarket no tiene un programa de recompensas por vulnerabilidades»; y explicó claramente que el comportamiento de atacar los endpoints públicos de la API no cumple con los requisitos para reclamar recompensas.
Contenido de las acusaciones de Dark Web Informer y detalles técnicos
Según la publicación en X del 29 de abril de 2026 de Dark Web Informer, el atacante «xorcat» afirma que, mediante endpoints no públicos, saltos de paginación y errores de configuración de CORS en las API Gamma y CLOB de Polymarket, completó la extracción de datos el 27 de abril de 2026. Los datos sobre la escala de las acusaciones reveladas por Dark Web Informer son los siguientes:
· En total, más de 300.000 registros; tras la extracción, aproximadamente 750 MB; comprimidos, aproximadamente 8,3 MB
· Aproximadamente 10.000 registros de usuarios únicos con información de identificación personal (PII) completa, que cubren nombre, apodo, monedero proxy y direcciones básicas
· 48.536 registros de mercado de Gamma que contienen metadatos completos
· Más de 250.000 registros activos de mercados CLOB que contienen direcciones FPMM
La publicación de Dark Web Informer también enumera vulnerabilidades técnicas que el atacante afirma que existen, incluyendo CVE-2025-62718 (evasión de Axios NO_PROXY, puntuación CVSS 9,9), un error de configuración de CORS en la API CLOB (origen comodín + credentials=true) y múltiples endpoints de API sin autenticación.
Antecedentes del programa de recompensas por vulnerabilidades de Polymarket
De acuerdo con la página del programa oficial de recompensas por vulnerabilidades de Polymarket, la plataforma cuenta con un programa de recompensas por vulnerabilidades de 5 millones de dólares, que acepta reportes de vulnerabilidades a través de la plataforma Spearbit/Cantina, e incluye vulnerabilidades en contratos inteligentes y aplicaciones web. La gravedad se divide en cuatro niveles: crítico, alto, medio y bajo. Según los términos del programa, el comportamiento de atacar endpoints públicos de la API no está dentro del alcance de elegibilidad para recompensas.
Preguntas frecuentes
¿Cuándo se publicó el comunicado en el que Polymarket niega una filtración de datos? ¿Cuál es el argumento central?
Según el comunicado de Polymarket en la plataforma X el 29 de abril de 2026, la plataforma niega la filtración de datos y afirma que todos los datos on-chain ya eran públicos y auditables; que se pueden obtener de forma gratuita mediante una API pública; y que el ataque a endpoints públicos de la API no cumple con los requisitos del programa de recompensas por vulnerabilidades.
¿Cuál es la escala de los datos filtrados que afirma Dark Web Informer y cuál es la fecha de extracción de datos?
Según la publicación de Dark Web Informer en la plataforma X el 29 de abril de 2026, el atacante afirma que el 27 de abril de 2026 extrajo más de 300.000 registros, incluidos aproximadamente 10.000 registros de usuarios con información de identificación personal (PII) completa y más de 250.000 registros de mercados CLOB.
¿Cuál es el tamaño del programa de recompensas por vulnerabilidades de Polymarket y qué plataforma lo gestiona?
Según la página del programa oficial de recompensas por vulnerabilidades de Polymarket, el tamaño del programa es de 5 millones de dólares y acepta reportes de vulnerabilidades a través de la plataforma Spearbit/Cantina; el comportamiento de atacar endpoints públicos de la API no está dentro del alcance de elegibilidad para recompensas.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
