ダークウェブがPolymarket攻撃を主張、運営側は反論

Polymarketは、xorcatと名乗る脅威者がサイバー犯罪フォーラムで30万件のレコードを公開した件について、情報流出ではないと主張した。分散型予測市場である同社は、当該情報が同社APIおよびオンチェーン履歴を通じて誰でも入手可能であると述べた。

この脅威者は、ダークウェブの監視アカウントであるDark Web Informerによって発見され、ユーザープロフィール、コメント、市場データ、エクスプロイトコードを抽出したと主張した。Polymarketは、今回の開示を脆弱性ではなく「仕様」だと反論した。

Polymarketのユーザーデータ流出か

フォーラムでは、PolymarketのGamma APIから約1万件のユーザープロフィール、4111件のコメント、4万8536件の市場データ、およびCLOB APIから25万件超のアクティブ市場を含む750MBのデータパックが案内された。

この脅威者は、フォロワーリスト、リワード設定、内部ユーザー識別子も公開した。

生データに加え、パッケージには概念実証用エクスプロイトも含まれるという。内容は、CVE-2025-62718として追跡されるAxiosプロキシバイパス、CLOB APIのCORS設定ミス、Next.jsミドルウェア認証バイパス、さらには無制限のクエリサイズを許容するページネーションの不備だった。

投稿者は、これら漏洩をPolymarketのアクセス制御不備の証拠と位置付け、同プラットフォームにはバグ報奨金プログラムが存在せず、事前通告もなかったと主張した。

Polymarketの対応

Polymarketは数時間以内に反論した。X（旧Twitter）上の声明で、投稿で言及されたすべてのデータはオンチェーン上で検証可能、あるいは公開APIから取得できる情報であると述べた。

チームは、研究者はこの情報の入手にフォーラムの売り手へ金銭を支払う必要はないと付け加えた。プロトコルによってすでに無料で公開されているためだ。利用者にはAPIドキュメントの参照を促した。

バグ報奨金の範囲

Polymarketはバグ報奨金が存在しないとの主張も否定した。同社はCantinaと提携し500万ドル規模のプログラムを提供していると強調。公開APIのスクレイピングは対象外と明言した。

正当な報奨対象は、資金、コントラクト、プライベートユーザーデータに影響を及ぼす確認済みの脆弱性に限定される。

今回のような論争は、予測市場や他のオンチェーンプラットフォーム全般でたびたび見られる傾向。透明性の高い台帳では、情報の「公開」と「発見」の境界があいまいになりがちだ。

Polymarketの対応は、市場活動の情報公開を今後も進める姿勢を示す。今回の反応が今後のプラットフォーム関連報告のあり方に影響を与える可能性がある。