Polymarketは、30万件の記録漏洩の申し立てを否定し、APIデータは公開されており監査可能だと主張しています

Polymarketによる4月29日のX投稿によると、インターネットセキュリティアカウントのDark Web Informerは、分散型予測市場プラットフォームのPolymarketが侵入されたと告発している。30万件を超える記録と、1つの脆弱性エクスプロイト用ツールキットが、サイバー犯罪フォーラムに漏えいしたとされている。Polymarketは直ちにXで声明を出し、これを否定し、「オンチェーンデータはすべて公開され、監査可能である」と述べた。

Polymarket公式の回答

Polymarketが2026年4月29日にXプラットフォーム上で発表した声明によると、プラットフォームは自社のオンチェーンデータがすべて公開され監査可能であり、誰でも公開APIを通じて無料で取得でき、有料は不要だとしている。Polymarketは声明の中で、これを「不具合ではなく機能（a feature, not a bug）」と位置づけた。

Polymarketはまた、同社には500万ドルの脆弱性賞金プログラムがあると指摘し、「Polymarketには脆弱性賞金プログラムがない」と攻撃者が主張している内容と矛盾するとした。さらに、公開APIエンドポイントを攻撃する行為は、賞金申請の資格に該当しないことを明確に説明した。

Dark Web Informerの告発内容と技術的詳細

Dark Web Informerが2026年4月29日にXプラットフォーム上で行った投稿によると、攻撃者「xorcat」は、PolymarketのGammaおよびCLOB API内の未公開エンドポイント、ページングのバイパス、およびCORS設定の誤りを通じて、2026年4月27日にデータ抽出を完了したと主張している。Dark Web Informerが開示した告発データの規模は以下のとおり：

· 合計30万件を超える記録で、抽出後は約750 MB、圧縮後は約8.3 MB

· 完全な個人識別情報（PII）を含む唯一のユーザ記録が約1万件。氏名、あだ名（ハンドル）、代理ウォレット、基本住所が含まれる

· 完全なメタデータを含むGamma市場記録が48,536件

· FPMMアドレスを含むアクティブなCLOB市場記録が25万件超

Dark Web Informerの投稿では、攻撃者が主張する技術的な脆弱性も同時に列挙されており、CVE-2025-62718（Axios NO_PROXYのバイパス、CVSSスコア9.9）、CLOB APIのCORS設定の誤り（ワイルドカードの送信元にcredentials=true）、および複数の未認証のAPIエンドポイントが含まれる。

Polymarketの脆弱性賞金プログラムの背景

Polymarket公式の脆弱性賞金プログラムページによると、同プラットフォームには500万ドルの脆弱性賞金プログラムがあり、Spearbit/Cantinaプラットフォームを通じて脆弱性の報告を受け付ける。対象にはスマートコントラクトおよびWebアプリケーションの脆弱性が含まれ、重大度は重大、高、中、低の4つの等級に分かれている。同プログラムの規約によれば、公共APIエンドポイントを攻撃する行為は賞金の対象範囲に含まれない。

よくある質問

Polymarketが否認したデータ漏えいに関する声明はいつ発表された？核心となる論点は何？

Polymarketが2026年4月29日にXプラットフォーム上で発表した声明によると、同社はデータ漏えいを否認し、すべてのオンチェーンデータはそもそも公開され監査可能であり、公開APIを通じて無料で取得できるとしたうえで、攻撃公共APIエンドポイントは脆弱性賞金の資格に該当しないと指摘した。

Dark Web Informerが主張する漏えいデータの規模とデータ抽出日はいつ？

Dark Web Informerが2026年4月29日にXプラットフォーム上で行った投稿によると、攻撃者は2026年4月27日に30万件を超える記録を抽出したと主張しており、その内訳は、完全な個人識別情報（PII）を含むユーザ記録が約1万件、CLOB市場記録が25万件超だとしている。

Polymarketの脆弱性賞金プログラムの規模は？どのプラットフォームが管理している？

Polymarket公式の脆弱性賞金プログラムページによると、プログラムの規模は500万ドルで、Spearbit/Cantinaプラットフォームを通じて脆弱性の報告を受け付ける。公共APIエンドポイントを攻撃する行為は賞金の資格範囲に含まれない。