A Polymarket refuta alegações de hackers, os dados permanecem públicos

Polymarket, a plataforma de mercados de previsão, respondeu a uma onda de relatos alegando uma violação de dados após uma publicação na dark web que afirmava expor detalhes privados de utilizadores. Um hacker usando o pseudónimo “xorcat” e contas de cibersegurança circulando no X afirmou ter roubado mais de 300.000 registos, incluindo 10.000 perfis completos com nomes, imagens de perfil, carteiras proxy e endereços base. A Polymarket caracterizou as alegações como “total e completamente nonsense”, argumentando que as informações citadas já estão publicamente disponíveis.

A controvérsia surgiu enquanto a comunidade de segurança de criptomoedas e mercados on-chain monitorizam uma vaga de hacks e exposições de dados no mês passado. Hackers e configurações incorretas contribuíram para um conjunto amplo de incidentes, com a Hacken a reportar que projetos Web3 perderam aproximadamente 482 milhões de dólares em hacks e esquemas fraudulentos em 44 eventos no primeiro trimestre de 2026. Este contexto aumentou o escrutínio sobre quanto de dados é exposto por sistemas acessíveis via on-chain e API e o que constitui uma violação versus uma superfície de dados públicos auditar.

A posição da Polymarket foi reforçada por uma refutação direta no X, onde a equipa afirmou que as alegações de violação eram “total e completamente nonsense” e observou que os dados alegadamente roubados já estão acessíveis online. Noutro post, a Polymarket destacou a natureza on-chain e publicamente auditable dos seus dados: “Parte da beleza de estar na cadeia é que todos os nossos dados são publicamente auditar, isto é uma funcionalidade, não um bug. Nenhum dado foi vazado, está acessível através dos nossos endpoints públicos e dados on-chain. Em vez de pagar pelos dados, pode aceder a eles gratuitamente via as nossas APIs.”

A alegação do hacker centrou-se em violações através de endpoints API supostamente comprometidos e dados on-chain, com afirmações de que endpoints API não documentados, bypass de paginação e configurações incorretas de CORS nos APIs Gamma e CLOB da Polymarket foram explorados. O atacante também sugeriu planos para divulgar mais dados de outros mercados de previsão nos próximos dias.

Vários investigadores de segurança expressaram ceticismo sobre a história do violação. Vladimir S., investigador de ameaças e diretor de segurança na Legalblock, alertou que as provas sugeriam que os dados foram analisados em vez de vazados numa verdadeira violação, descrevendo o cenário como improvável de refletir um compromisso real de base de dados.

Principais conclusões

O incidente centra-se numa alegação de roubo de dados da Polymarket, que o operador rejeita como falsa, afirmando que os dados reportados são acessíveis publicamente e já publicados.

A Polymarket mantém que os seus dados permanecem on-chain e publicamente auditar, enfatizando que desenvolvedores e utilizadores podem aceder às informações gratuitamente via APIs públicas.

A plataforma contrapõe uma narrativa de que não havia programa de bug bounty, notando um programa ativo iniciado em 16 de abril e que desde então recebeu centenas de relatórios—levantando questões sobre o timing e o escopo da alegada exposição de dados.

O contexto da indústria importa: hackers e configurações incorretas contribuíram para uma ampla vaga de incidentes de segurança em cripto no primeiro trimestre de 2026, sublinhando a vulnerabilidade contínua do setor a vazamentos de dados e falhas de controlo de acesso.

Céticos argumentam que a alegação pode refletir análise de dados ou má interpretação em vez de uma verdadeira violação, destacando a tensão entre transparência on-chain e exposição de dados sensíveis a utilizadores.

Resposta da Polymarket e o debate sobre acesso a dados

No centro da disputa está a afirmação da Polymarket de que não houve violação de dados e que as informações citadas pelo hacker já são públicas. Em publicações no X, a plataforma argumentou que endpoints API acessíveis publicamente e a disponibilidade de dados on-chain significam que utilizadores e desenvolvedores podem obter os mesmos dados sem uma intrusão. A posição da empresa alinha-se com um debate mais amplo em cripto: quando a atividade on-chain é inerentemente pública e auditable, em que momento a exposição se torna uma violação e não uma característica de design da arquitetura?

A troca também apontou para a sua estratégia de API, sugerindo que os dados alegadamente roubados são acessíveis a qualquer pessoa através das suas APIs, em vez de representarem um compromisso de segurança. Esta abordagem gerou reações mistas na comunidade de segurança, com alguns especialistas a reconhecerem a natureza pública de certos dados, enquanto outros alertaram que expor metadados sensíveis de utilizadores—especialmente combinados com endereços de carteiras e identificadores de perfil—poderia levantar preocupações de privacidade mesmo que tecnicamente públicos.

Para além dos detalhes específicos da Polymarket, o episódio aborda uma questão de longa data na infraestrutura de cripto: como equilibrar abertura e auditabilidade com a proteção da privacidade do utilizador. Dados on-chain e acesso via API podem permitir uma verificação rápida e transparência, mas também podem ampliar a superfície de coleta de dados e potencial uso indevido se não forem devidamente controlados ou anonimizados. A discussão contínua reforça a necessidade de as plataformas delimitarem claramente quais dados são visíveis publicamente versus quais são considerados sensíveis ou restritos.

Programa de bug bounty e postura de segurança

Um contraponto central à narrativa de “sem bug bounty” é o programa de bug bounty declarado pela Polymarket. A plataforma indica uma iniciativa ativa iniciada em 16 de abril e que desde então recolheu centenas de relatórios—446, na última atualização. Este ritmo sugere um esforço contínuo para identificar e remediar vulnerabilidades, mesmo enquanto o episódio atual se desenrola publicamente. A existência de um programa formal de bug bounty pode ser um sinal de maturidade de segurança em curso, mas também convida a um escrutínio sobre o escopo de relatórios de bugs e a rapidez na resolução de problemas num ambiente de ameaças em rápida evolução.

Observadores da indústria ficarão atentos a se novas vulnerabilidades ou configurações incorretas continuam a surgir nas camadas API da Polymarket ou se o episódio atual permanece limitado a uma má interpretação de dados públicos. A interação entre atividade de bug bounty, cronogramas de divulgação e resposta a incidentes oferecerá uma leitura de quão rapidamente a plataforma pode recuperar a confiança se surgirem problemas genuínos.

Contexto da indústria: incidentes de segurança e transparência on-chain

O panorama mais amplo de segurança em cripto acrescenta contexto ao episódio da Polymarket. Hackers e configurações incorretas impulsionaram a segurança Web3 ao centro das atenções, com o primeiro trimestre de 2026 a reportar perdas notáveis em diversos incidentes. Embora as perdas totais e contagens de incidentes variem por fonte, a tendência ilustra que até mercados e plataformas de previsão estabelecidos continuam a ser alvos atraentes para atacantes à procura de vantagem de dados ou financeira.

Analistas observam que a natureza pública dos dados on-chain pode ser uma faca de dois gumes: permite rápida verificação e responsabilização, mas também pode complicar considerações de privacidade se informações identificáveis de utilizadores ficarem entrelaçadas com dados de transações transparentes. Neste ambiente, plataformas que defendem a abertura devem também garantir controles de acesso robustos, minimização cuidadosa de dados e políticas de privacidade claras para navegar as expectativas regulatórias e de mercado em evolução.

À medida que a narrativa em torno da Polymarket evolui, os observadores desejarão ver como a plataforma responde ao escrutínio contínuo, se publica mais detalhes técnicos sobre as suas configurações de API e controles de segurança, e como comunica quaisquer futuras descobertas de divulgações de bug bounty. Relatórios de investigadores de segurança, operadores de exchanges e investigadores independentes continuarão a moldar percepções de mercado sobre a fiabilidade dos dados em plataformas de previsão populares.

Na reportagem desta semana, a Cointelegraph baseou-se na avaliação da Hacken sobre o panorama de segurança do período, sublinhando que o primeiro trimestre de 2026 viu um volume significativo de exploits no espaço Web3. A confluência de acessibilidade de dados públicos e narrativas de hacks de alto perfil evidencia por que investidores e construtores estão a prestar mais atenção a como as plataformas lidam com exposição de dados, segurança de APIs e resposta a incidentes em tempo real.

Fonte: publicações da Polymarket no X, comentários de investigadores de cibersegurança e dados do setor citados pela Hacken e Cointelegraph.

A Polymarket compromete-se com jornalismo independente e transparente. Este artigo de notícias segue a Política Editorial do Cointelegraph e visa fornecer informações precisas e oportunas. Os leitores são encorajados a verificar as informações de forma independente.

Este artigo foi originalmente publicado como Polymarket Refuta Alegações de Hacker, Dados Permanecem Públicos na Crypto Breaking News – sua fonte de confiança para notícias de cripto, notícias de Bitcoin e atualizações de blockchain.