Polymarket a rejeté les allégations concernant une fuite de données après qu’un acteur malveillant connu sous le nom de xorcat a publié 300 000 enregistrements sur un forum cybercriminel. Le marché de prédiction décentralisé a précisé que ces informations sont publiquement accessibles par le biais de ses API et de l’historique on-chain.
L’acteur, identifié par le compte de veille Dark Web Informer, affirme avoir extrait des profils utilisateurs, des commentaires, des données de marché et du code de hack. Polymarket a réagi en qualifiant cette divulgation de fonctionnalité plutôt que de vulnérabilité.
Fuite de données utilisateur chez Polymarket ?
Le post sur le forum proposait un pack de 750 Mo comprenant environ 10 000 profils utilisateurs, 4 111 commentaires, 48 536 marchés issus de l’API Gamma de Polymarket, et plus de 250 000 marchés actifs tirés de son API CLOB.
L’acteur a également inclus des listes de followers, des configurations de récompense et des identifiants internes d’utilisateurs.
Au-delà des données brutes, le package comporterait aussi des exploits en preuve de concept. Ceux-ci incluent un contournement d’un proxy Axios répertorié sous CVE-2025-62718, une mauvaise configuration CORS sur l’API CLOB, une faille d’authentification middleware Next.js, ainsi qu’un défaut de pagination dont le vendeur affirme qu’il accepte des tailles de requête illimitées.
Le post présentait cette fuite comme une preuve de dysfonctionnement des contrôles d’accès chez Polymarket et affirmait que la plateforme ne dispose pas de programme de bug bounty et n’a jamais été notifiée avant la publication.
Réponse de Polymarket
Polymarket a répondu dans les heures qui ont suivi. Dans un communiqué sur X, la plateforme affirme que toutes les données évoquées dans le post sont consultables on-chain ou accessibles par ses points d’accès documentés.
« L’un des atouts du on-chain, c’est que toutes nos données sont auditables publiquement… c’est une fonctionnalité, pas un bug. Aucune donnée n’a “fuité” — tout est accessible par nos points d’accès publics et nos données on-chain. »
L’équipe ajoute que les chercheurs n’ont pas à payer un vendeur de forum pour obtenir ces informations. Le protocole les publie déjà gratuitement. Les utilisateurs sont invités à consulter la documentation de l’API.
Limites du programme de bug bounty
Polymarket a également réfuté l’idée selon laquelle il n’existerait pas de bug bounty. La plateforme met en avant son programme à cinq millions de dollars hébergé avec Cantina, tout en précisant que le scraping des points d’accès publics de l’API n’ouvre droit à aucune récompense.
Les signalements éligibles concernent des vulnérabilités avérées qui impactent des fonds, des contrats ou des données privées d’utilisateurs.
Ce différend reflète une tension récurrente au sein des marchés de prédiction et des autres plateformes on-chain. Les registres transparents brouillent souvent la frontière entre divulgation et découverte.
La position de Polymarket suggère que la plateforme considère le risque comme faible à continuer d’exposer publiquement l’activité de ses marchés. Cette réponse pourrait influencer la façon dont les prochaines révélations seront rapportées concernant la plateforme.
