- Xorcat afirma ter extraído 300 mil registros da Polymarket e publicou o suposto dump em 27 de abril de 2026, descrevendo falhas exploradas e dados obtidos.
- Segundo o hacker, houve exploração de endpoints de API não documentados, bypass de paginação no livro de ordens (CLOB) e má configuração de CORS para obter acesso.
- O pesquisador aponta duas vulnerabilidades públicas críticas: CVE-2025-62718 (bypass da variável NO_PROXY no Axios) e CVE-2024-51479 (falha no middleware de autenticação do Next.js).
- O conteúdo do suposto vazamento incluiria mais de 250 mil mercados CLOB, 9 mil perfis de seguidores, 4.111 comentários e 1.2 GB em um arquivo grande; versão comprimida seria 8,3 MB, com dump completo de 2,24 GB.
- A Polymarket enfatiza que os dados são públicos por operar em blockchain e sustenta que houve scraping de informações disponíveis, não violação técnica, com programa de bug bounty ativo desde 16 de abril de 2026.
Polymarket enfrenta controvérsia após declaração de que não houve vazamento, mesmo com alegações de ataque. Um hacker identificado como Xorcat afirma ter extraído cerca de 300 mil registros da plataforma de mercados de previsão baseada em blockchain. Os supostos dados teriam sido publicados em um fórum de crimes cibernéticos e no Telegram no dia 27 de abril de 2026, enquanto a Polymarket nega qualquer violação.
Xorcat sustenta ter explorado falhas no código da plataforma, incluindo endpoints de API não documentados, que não eram divulgados publicamente pela empresa. Alega ainda ter utilizado um bypass de paginação no sistema de negociação CLOB e ter explorado uma configuração de CORS mal ajustada, permitindo comunicação indevida com o servidor.
Vulnerabilidades públicas entram na lista de acusações
O hacker cita duas vulnerabilidades públicas de alta gravidade para justificar o acesso. A primeira, CQE-2025-62718, tem CVSS 9.9 e envolve falha no bypass da variável NO_PROXY do Axios, biblioteca usada para requisições HTTP. A segunda, CVE-2024-51479, pontuação 7.5, afeta o Next.js, framework que dá suporte a diversas aplicações web e permite contorno de autenticação.
Conteúdo supostamente incluído no dump
A versão comprimida do vazamento ocupa 8,3 MB, enquanto o dump completo chegaria a 2,24 GB, com 750 MB de dados brutos. Entre os arquivos estariam diretório de imagens de perfil e JSONs como gamma_markets.json, além de um arquivo de 1,2 GB batizado xorcat.deals polymarket clob_markets.json. As informações supostamente incluem 10 mil perfis de usuários com nomes, bios e endereços de carteiras, 9 mil perfis de seguidores, 4.111 comentários e mil registros de denúncias com 58 endereços ETH.
O que envolve a possível exposição
Segundo a descrição técnica, o suposto acesso pode ter permitido visualizar mais de 250 mil mercados CLOB ativos, 292 eventos com dados internos e cem configurações de recompensa com endereços USDC. Especialistas avaliam o caso como provável scraping de dados públicos, em vez de invasão com exploração de falhas complexas.
Reação da Polymarket e impactos
A Polymarket afirmou no X que não houve violação e ressaltou que, por operar em blockchain, grande parte dos dados já é público. A empresa sustenta que o material divulgado pela suposta fonte seria apenas a reutilização de informações disponíveis, sem intrusão real. A divergência entre as partes permanece sob avaliação.
Perguntas em aberto e implicações para usuários
A discussão traz dúvidas sobre a natureza do acesso aos dados: scraping versus exploração de brechas técnicas. A afirmação de que o conjunto completo envolve milhões de registros contrasta com a posição de que muitos dados já são publicamente acessíveis. Usuários podem ser expostos caso vínculos entre nomes e carteiras de criptomoedas sejam cruzados, destacando a necessidade de proteção de informações sensíveis.
Acompanhe as novidades sobre segurança e tecnologia para entender desdobramentos deste caso envolvendo Polymarket, Xorcat e possíveis implicações para a privacidade de usuários.
Entre na conversa da comunidade