Selon une publication sur X du 29 avril par Polymarket, le compte de cybersécurité Dark Web Informer accuse la plateforme décentralisée de prédiction Polymarket d’avoir été piratée : plus de 300 000 enregistrements et un kit d’exploitation de faille auraient été divulgués sur des forums de cybercriminalité ; Polymarket a immédiatement démenti sur X, indiquant que toutes les données on-chain sont publiques et auditables.
Réponse officielle de Polymarket
Selon une déclaration publiée par Polymarket le 29 avril 2026 sur la plateforme X, la plateforme indique que toutes ses données on-chain sont publiques et auditables ; chacun peut les récupérer gratuitement via une API publique, sans paiement. Dans sa déclaration, Polymarket qualifie cela de « fonctionnalité plutôt que bug (a feature, not a bug) ».
Polymarket souligne également que la plateforme dispose d’un programme de primes pour failles de 5 millions de dollars, ce qui contredit les affirmations de l’attaquant selon lesquelles « Polymarket n’a pas de programme de primes pour failles » ; et explique clairement que le fait d’attaquer des points d’extrémité (endpoints) de l’API publique ne répond pas aux critères d’éligibilité pour une demande de prime.
Contenu des accusations de Dark Web Informer et détails techniques
Selon un billet de Dark Web Informer du 29 avril 2026 sur la plateforme X, l’attaquant « xorcat » affirme avoir contourné des endpoints non divulgués dans les API Gamma et CLOB de Polymarket, via des contournements de pagination et une configuration CORS incorrecte, afin d’extraire des données le 27 avril 2026. Les données relatives à l’ampleur des accusations divulguées par Dark Web Informer sont les suivantes :
· Total de plus de 300 000 enregistrements ; après extraction environ 750 MB ; après compression environ 8,3 MB
· Environ 10 000 enregistrements uniques contenant des informations personnellement identifiables (PII) complètes, couvrant nom, pseudonyme, portefeuilles proxy et adresses de base
· 48 536 enregistrements de marché Gamma contenant des métadonnées complètes
· Plus de 250 000 enregistrements de marchés CLOB actifs contenant des adresses FPMM
Le billet de Dark Web Informer liste également, en même temps, les vulnérabilités techniques revendiquées par l’attaquant, notamment CVE-2025-62718 (contournement Axios NO_PROXY, score CVSS 9,9), une erreur de configuration CORS dans l’API CLOB (source wildcard avec credentials=true) et plusieurs endpoints d’API non authentifiés.
Contexte du programme de primes pour failles de Polymarket
Selon la page officielle du programme de primes pour failles de Polymarket, la plateforme dispose d’un programme de primes pour failles de 5 millions de dollars, acceptant les signalements de failles via la plateforme Spearbit/Cantina, couvrant les vulnérabilités de contrats intelligents et des applications Web ; la sévérité est classée en quatre niveaux : critique, élevée, moyenne et faible. D’après les conditions du programme, les actions visant à attaquer des endpoints d’API publique ne sont pas incluses dans le périmètre d’éligibilité aux primes.
Questions fréquentes
À quelle date la déclaration de Polymarket niant une fuite de données a-t-elle été publiée ? Quels sont les arguments centraux ?
Selon la déclaration de Polymarket du 29 avril 2026 sur la plateforme X, la plateforme nie la fuite de données ; elle indique que toutes les données on-chain étaient à l’origine publiques et auditables, qu’elles peuvent être récupérées gratuitement via une API publique, et précise que l’attaque d’un endpoint d’API publique ne correspond pas à l’éligibilité aux primes pour failles.
Quelle est l’ampleur des données divulguées revendiquée par Dark Web Informer et à quelle date l’extraction des données aurait-elle eu lieu ?
Selon un billet de Dark Web Informer du 29 avril 2026 sur la plateforme X, l’attaquant revendique avoir extrait plus de 300 000 enregistrements le 27 avril 2026, y compris environ 10 000 enregistrements d’utilisateurs contenant des informations personnellement identifiables (PII) complètes et plus de 250 000 enregistrements de marchés CLOB.
Quelle est la taille du programme de primes pour failles de Polymarket ? Par quelle plateforme est-il géré ?
Selon la page officielle du programme de primes pour failles de Polymarket, la taille du programme est de 5 millions de dollars, et il accepte les signalements de failles via la plateforme Spearbit/Cantina ; les actions visant à attaquer des endpoints d’API publique ne sont pas incluses dans le périmètre d’éligibilité aux primes.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
