Polymarket refuta alegações de hackers, os dados permanecem públicos

Polymarket, a plataforma de mercados de previsão, rejeitou uma onda de relatos alegando uma violação de dados após uma postagem na dark web que afirmava expor detalhes privados de usuários. Um hacker usando o nome “xorcat” e contas de cibersegurança circulando no X afirmou ter roubado mais de 300.000 registros, incluindo 10.000 perfis completos com nomes, imagens de perfil, carteiras proxy e endereços base. Polymarket caracterizou as alegações como “total e completamente nonsense”, argumentando que as informações citadas já estão disponíveis publicamente.

A controvérsia surgiu enquanto a comunidade de segurança de criptomoedas e mercados on-chain monitoram uma onda de hacks e exposições de dados no mês passado. Hackers e configurações incorretas contribuíram para um amplo conjunto de incidentes, com a Hacken relatando que projetos Web3 perderam aproximadamente US$ 482 milhões em hacks e golpes em 44 eventos no primeiro trimestre de 2026. Esse cenário aumentou o escrutínio sobre quanto dado é exposto por sistemas acessíveis via on-chain e API e o que constitui uma violação versus uma superfície de dados públicos auditáveis.

A postura da Polymarket foi reforçada por uma refutação direta no X, onde a equipe afirmou que as alegações de violação eram “total e completamente nonsense” e observou que os dados supostamente roubados já estão acessíveis online. Em outra postagem, a Polymarket destacou a natureza on-chain e publicamente auditável de seus dados: “Parte da beleza de estar na cadeia é que todos os nossos dados são publicamente auditáveis, isso é uma característica, não um bug. Nenhum dado foi vazado, ele é acessível via nossos endpoints públicos e dados on-chain. Em vez de pagar pelos dados, você pode acessá-los gratuitamente via nossas APIs.”

A alegação do hacker centrava-se em violações através de endpoints de API supostamente comprometidos e dados on-chain, com afirmações de que endpoints de API não documentados, bypass de paginação e configurações incorretas de CORS nos APIs Gamma e CLOB da Polymarket foram explorados. O atacante também sugeriu planos de liberar mais dados de outros mercados de previsão nos próximos dias.

Vários pesquisadores de segurança expressaram ceticismo sobre a história da violação. Vladimir S., pesquisador de ameaças e diretor de segurança na Legalblock, alertou que as evidências sugeriam que os dados foram analisados, não vazados em uma verdadeira violação, descrevendo o cenário como improvável de refletir um comprometimento real de banco de dados.

Principais pontos

O incidente centra-se em uma alegação de roubo de dados da Polymarket, que o operador rejeita como falsa, afirmando que os dados relatados são acessíveis publicamente e já publicados.

A Polymarket mantém que seus dados permanecem on-chain e publicamente auditáveis, enfatizando que desenvolvedores e usuários podem acessar informações gratuitamente via APIs públicas.

A plataforma contrabalança uma narrativa de que não havia programa de bug bounty, destacando um programa ativo iniciado em 16 de abril e que desde então recebeu centenas de relatos—levantando questões sobre o timing e o escopo da suposta exposição de dados.

O contexto da indústria importa: hackers e configurações incorretas contribuíram para uma ampla onda de incidentes de segurança em criptomoedas no primeiro trimestre de 2026, reforçando a vulnerabilidade contínua do setor a vazamentos de dados e falhas de controle de acesso.

Céticos argumentam que a alegação pode refletir análise de dados ou má interpretação, e não uma violação verdadeira, destacando a tensão entre transparência on-chain e exposição de dados sensíveis de usuários.

Resposta da Polymarket e o debate sobre acesso a dados

No centro da disputa está a afirmação da Polymarket de que não houve violação de dados e que as informações citadas pelo hacker já são públicas. Em postagens observadas no X, a plataforma argumentou que endpoints de API acessíveis publicamente e a disponibilidade de dados on-chain significam que usuários e desenvolvedores podem recuperar os mesmos dados sem uma invasão. A posição da empresa se alinha a um debate mais amplo no setor de criptomoedas: quando a atividade on-chain é inerentemente pública e auditável, em que momento a exposição se torna uma violação e não uma característica de design da arquitetura?

A bolsa também apontou para sua estratégia de API, sugerindo que os dados alegados como roubados são acessíveis a qualquer um via suas APIs, e não representam um compromisso de segurança. Essa abordagem gerou reações mistas na comunidade de segurança, com alguns especialistas reconhecendo a natureza pública de certos dados, enquanto outros alertam que expor metadados sensíveis de usuários—especialmente combinados com endereços de carteiras e identificadores de perfil—poderia levantar preocupações de privacidade mesmo que tecnicamente públicos.

Além dos detalhes específicos da Polymarket, o episódio aborda uma questão de longa data na infraestrutura de criptomoedas: como equilibrar abertura e auditabilidade com a proteção da privacidade do usuário. Dados on-chain e acesso via API podem permitir verificações rápidas e transparência, mas também podem ampliar a superfície de coleta de dados e uso indevido se não forem controlados ou anonimizados adequadamente. A discussão contínua reforça a necessidade de plataformas delimitarem claramente quais dados são visíveis publicamente versus quais são considerados sensíveis ou restritos.

Programa de bug bounty e postura de segurança

Um contraponto central à narrativa de “sem bug bounty” é o programa de bug bounty declarado pela Polymarket. A plataforma indica uma iniciativa ativa iniciada em 16 de abril e que desde então coletou centenas de relatos—446, na última atualização. Essa cadência sugere um esforço contínuo para identificar e remediar vulnerabilidades, mesmo enquanto o episódio atual ocorre em público. A existência de um programa formal de bug bounty pode ser um sinal de maturidade de segurança em andamento, mas também convida a um escrutínio sobre o escopo de relatórios de bugs e a rapidez na resolução de problemas em um ambiente de ameaças em rápida evolução.

Observadores da indústria ficarão atentos se novas vulnerabilidades ou configurações incorretas continuarem a surgir nas camadas de API da Polymarket ou se o episódio atual permanecer limitado a uma má interpretação de dados disponíveis publicamente. A interação entre atividade de bug bounty, cronogramas de divulgação e resposta a incidentes oferecerá uma leitura de quão rapidamente a plataforma pode recuperar a confiança se surgirem problemas genuínos.

Contexto da indústria: incidentes de segurança e transparência on-chain

O panorama mais amplo de segurança em criptomoedas acrescenta contexto ao episódio da Polymarket. Hackers e configurações incorretas impulsionaram a segurança Web3 ao centro das atenções, com o primeiro trimestre de 2026 relatando perdas notáveis em diversos incidentes. Embora as perdas totais e contagens de incidentes variem por fonte, a tendência mostra que até mercados e plataformas de previsão estabelecidos continuam sendo alvos atraentes para atacantes buscando vantagem de dados ou financeira.

Analistas observam que a natureza pública dos dados on-chain pode ser uma faca de dois gumes: permite verificações rápidas e responsabilização, mas também pode complicar considerações de privacidade se informações identificáveis de usuários se misturarem com dados de transações transparentes. Nesse ambiente, plataformas que defendem a abertura também devem garantir controles de acesso robustos, minimização de dados e políticas de privacidade claras para navegar as expectativas regulatórias e de mercado em evolução.

À medida que a narrativa sobre a Polymarket evolui, observadores desejarão ver como a plataforma responde às críticas contínuas, se publica mais detalhes técnicos sobre suas configurações de API e controles de segurança, e como comunica quaisquer futuras descobertas de divulgações de bug bounty. Relatórios de pesquisadores de segurança, operadores de exchanges e pesquisadores independentes continuarão moldando percepções de mercado sobre a confiabilidade dos dados em plataformas de previsão populares.

Em reportagem desta semana, a Cointelegraph destacou a avaliação da Hacken sobre o panorama de segurança do período, reforçando que o primeiro trimestre de 2026 viu um volume significativo de exploits no espaço Web3. A confluência de acessibilidade de dados públicos e narrativas de hacks de alto perfil evidencia por que investidores e desenvolvedores estão mais atentos a como as plataformas lidam com exposição de dados, segurança de API e resposta a incidentes em tempo real.

Fonte: postagens da Polymarket no X, comentários de pesquisadores de segurança e dados do setor citados pela Hacken e Cointelegraph.

A Polymarket compromete-se com jornalismo independente e transparente. Este artigo segue a Política Editorial do Cointelegraph e visa fornecer informações precisas e oportunas. Os leitores são encorajados a verificar as informações de forma independente.

Este artigo foi originalmente publicado como Polymarket Refuta Alegações de Hacker, Dados Permanecem Públicos no Crypto Breaking News – sua fonte confiável de notícias de criptomoedas, notícias de Bitcoin e atualizações de blockchain.