De acordo com um post na X da Polymarket a 29 de abril, a conta de cibersegurança Dark Web Informer acusou a plataforma de previsão descentralizada Polymarket de ter sido invadida, com mais de 300.000 registos e um conjunto de exploração de vulnerabilidades divulgados num fórum de crimes informáticos; a Polymarket, de imediato, negou na X, afirmando que todos os dados on-chain são públicos e auditáveis.
Resposta oficial da Polymarket
De acordo com uma declaração publicada pela Polymarket a 29 de abril de 2026 na plataforma X, a empresa indica que todos os seus dados on-chain são públicos e auditáveis; qualquer pessoa pode aceder gratuitamente através de uma API pública, sem necessidade de pagamento. Na declaração, a Polymarket classifica isto como «funcionalidade e não bug (a feature, not a bug)».
A Polymarket também salienta que existe um plano de recompensas por vulnerabilidades de 5 milhões de dólares na plataforma, o que contradiz a afirmação do atacante de que «a Polymarket não tem plano de recompensas por vulnerabilidades»; e explica de forma explícita que a conduta de atacar endpoints de API pública não cumpre os requisitos para reclamar a recompensa.
Acusações e detalhes técnicos da Dark Web Informer
De acordo com um post da Dark Web Informer a 29 de abril de 2026 na plataforma X, o atacante «xorcat» afirma que conseguiu extrair dados a 27 de abril de 2026, contornando endpoints não públicos na Gamma e na CLOB API da Polymarket, usando paginação e erros de configuração de CORS. Os dados de escala das acusações divulgadas pela Dark Web Informer são os seguintes:
· No total, mais de 300.000 registos; após a extração, cerca de 750 MB; após compressão, cerca de 8,3 MB
· Cerca de 10.000 registos de utilizadores únicos contendo informações de identificação pessoal (PII) completas, cobrindo nome, pseudónimo, carteiras proxy e endereços base
· 48.536 registos de mercados Gamma contendo metadados completos
· Mais de 250.000 registos de mercados CLOB ativos com endereços FPMM
O post da Dark Web Informer lista ainda, em simultâneo, as vulnerabilidades técnicas que o atacante diz ter encontrado, incluindo CVE-2025-62718 (bypass do Axios NO_PROXY, com avaliação CVSS 9,9), erro de configuração CORS da CLOB API (origem com wildcard + credentials=true) e múltiplos endpoints de API não autenticados.
Contexto do plano de recompensas por vulnerabilidades da Polymarket
De acordo com a página oficial do plano de recompensas por vulnerabilidades da Polymarket, a plataforma tem um plano de recompensas por vulnerabilidades de 5 milhões de dólares, aceitando comunicações de vulnerabilidades através da plataforma Spearbit/Cantina, cobrindo vulnerabilidades em contratos inteligentes e em aplicações Web, com severidades divididas em quatro níveis: crítico, alto, médio e baixo. De acordo com os termos do plano, a conduta de atacar endpoints de API pública não está incluída no âmbito de elegibilidade para recompensas.
Perguntas frequentes
Quando foi publicada a declaração da Polymarket que nega a fuga de dados? Qual é o argumento central?
De acordo com a declaração da Polymarket a 29 de abril de 2026 na plataforma X, a plataforma nega a fuga de dados, afirmando que todos os dados on-chain são, por natureza, públicos e auditáveis, que podem ser acedidos gratuitamente via API pública, e que o ataque aos endpoints de API pública não cumpre os requisitos para recompensas por vulnerabilidades.
Qual é a escala dos dados alegadamente divulgados pela Dark Web Informer e qual é a data de extração?
De acordo com o post da Dark Web Informer a 29 de abril de 2026 na plataforma X, o atacante afirma que extraiu mais de 300.000 registos a 27 de abril de 2026, incluindo cerca de 10.000 registos de utilizadores com informações de identificação pessoal (PII) completas e mais de 250.000 registos de mercados CLOB.
Qual é a dimensão do plano de recompensas por vulnerabilidades da Polymarket e por qual plataforma é gerido?
De acordo com a página oficial do plano de recompensas por vulnerabilidades da Polymarket, a dimensão do plano é de 5 milhões de dólares, sendo que as comunicações de vulnerabilidades são aceites através da plataforma Spearbit/Cantina; a conduta de atacar endpoints de API pública não está incluída no âmbito de elegibilidade para recompensas.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Hyperliquid testa contratos de eventos de preços de cripto de 15 minutos na testnet
De acordo com a ChainCatcher, a Hyperliquid está atualmente a testar novos contratos de eventos na sua testnet, incluindo mercados de movimentos de preços de cripto com duração de 15 minutos para resultados bullish e bearish.
GateNews29m atrás
Polymarket corrige a vulnerabilidade das “transações fantasmas”: a taxa anormal de 30% cai para 0,17%, V2 entra em funcionamento uma semana depois
Polymarket conclui a atualização V2, com a correção do bug Ghost Fill (negócio fantasma), reduzindo a taxa anómala de negócios de 30% no pico para 0,17% e continuando a descer. O Ghost Fill é um ataque em que os negócios parecem ter sido concluídos, mas o capital já foi levantado. A nova estrutura base melhora a consistência entre a execução dos negócios e a liquidação on-chain, além de reforçar a defesa contra recompensas para LP.
ChainNewsAbmedia1h atrás
Predict.fun lança a previsão de lançamento do token da Polymarket; probabilidades de 9% para o prazo de 30 de junho de 2026
Segundo a Odaily, o mercado de previsões Predict.fun lançou hoje um novo evento de previsão sobre quando é que a Polymarket lançará o seu token oficial, com o volume de negociação atual a atingir 546.800 dólares. A plataforma estima uma probabilidade de 9% de a Polymarket lançar o seu token até 30 de junho de 2026, 39% por
GateNews4h atrás
Bitcoin sobe para 81.300 dólares, detentores de longo prazo acumulam 331.000 BTC à medida que os influxos do ETF spot disparam, com 1,18 mil milhões de dólares em 3 dias
De acordo com a ChainCatcher, o Bitcoin subiu para 81.300 dólares na terça-feira, com ganhos semanais e de 30 dias a atingirem 5% e 21%, respetivamente. Os dados da CryptoQuant mostram que os detentores de longo prazo acumularam um saldo líquido de 331.000 BTC ao longo de 30 dias, no valor aproximado de 26,7 mil milhões de dólares aos preços atuais, representando 1,6% da oferta total.
GateNews4h atrás
A SEC atrasa os ETFs de mercados de previsão de 24, com estreia prevista para esta semana
De acordo com a Reuters, a 4 de maio, a Securities and Exchange Commission adiou 24 fundos negociados em bolsa de mercados de previsão (prediction market exchange-traded funds) previstos para estrear esta semana. A pausa afeta os ETFs de emissores como Bitwise, Roundhill e GraniteShares, enquanto a SEC analisa como os produtos funcionariam e os respetivos investimentos
GateNews7h atrás
