Polymarket ha negado afirmaciones de una filtración de datos después de que un actor conocido como xorcat publicara 300,000 registros en un foro de ciberdelincuencia. El mercado de predicción descentralizado dijo que la información está disponible públicamente a través de sus API y del historial on-chain.
El actor, identificado por la cuenta de monitoreo Dark Web Informer, afirmó haber extraído perfiles de usuarios, comentarios, datos de mercados y código de exploit. Polymarket respondió diciendo que la divulgación es una característica y no una vulnerabilidad.
¿Se filtraron datos de usuarios de Polymarket?
La publicación en el foro anunciaba un paquete de 750 MB que contenía aproximadamente 10,000 perfiles de usuarios, 4,111 comentarios, 48,536 mercados de la Gamma API de Polymarket y más de 250,000 mercados activos de su CLOB API.
El actor también incluyó listas de seguidores, configuraciones de recompensas e identificadores internos de usuarios. Además de los datos en bruto, el paquete supuestamente incluía exploits de prueba de concepto.
Estos cubrían una omisión del proxy Axios registrada como CVE-2025-62718, una mala configuración de CORS en la CLOB API, una omisión de autenticación en el middleware de Next.js y un fallo de paginación que, según el vendedor, aceptaba tamaños de consulta ilimitados.
La publicación presentó el volcado como evidencia de controles de acceso deficientes en Polymarket y afirmó que la plataforma no tenía un programa de recompensas por bugs y que no fue notificada antes de la publicación.
Polymarket se defendió en pocas horas. En un comunicado en X, la plataforma dijo que todos los datos mencionados en la publicación son auditables on-chain o accesibles mediante sus endpoints documentados.
“Parte de la belleza de estar on-chain es que todos nuestros datos son auditables públicamente… esto es una característica, no un error. No se ‘filtró’ ningún dato — es accesible a través de nuestros endpoints públicos y los datos on-chain.”
El equipo añadió que los investigadores no tienen que pagar a un vendedor en el foro por esto. La información ya está publicada por el protocolo de forma gratuita. El equipo recomendó a los usuarios consultar la documentación de su API.
Límites del programa de recompensas por bugs
Polymarket también negó la afirmación de que no existe un programa de recompensas. La plataforma destacó su programa de 5 millones de dólares alojado con Cantina, y aclaró que extraer información de endpoints públicos de la API no da derecho a ninguna recompensa.
Las presentaciones elegibles son aquellas que muestran vulnerabilidades verificadas que afectan fondos, contratos o datos privados de usuarios.
La disputa refleja una tensión frecuente en los mercados de predicciones y otras plataformas on-chain. Los libros contables transparentes suelen difuminar la línea entre la divulgación y el descubrimiento.
La posición de Polymarket sugiere que ve poco riesgo en seguir mostrando la actividad del mercado. La respuesta podría influir en cómo se informan los hallazgos futuros sobre la plataforma.
