Polymarket, xorcat isimli bir saldırganın siber suç forumunda 300.000 kayıt paylaşmasının ardından “veri ihlali” iddialarını reddediyor. Merkeziyetsiz tahmin platformu, sızdırılan bilgilerin zaten API’leri ve zincir üstü geçmişi üzerinden herkese açık olduğunu belirtiyor.
Dark Web Informer adlı izleme hesabına göre ortaya çıkan saldırgan; kullanıcı profilleri, yorumlar, piyasa verileri ve exploit kodu paylaştığını iddia etti. Polymarket ise bu durumu açık bir özellik olarak değerlendirdiğini, bir güvenlik açığı olmadığını söyledi.
Polymarket Kullanıcı Verileri Sızdırıldı mı?
Forum gönderisinde yaklaşık 10.000 kullanıcı profili, 4.111 yorum, Polymarket’in Gamma API’sinden 48.536 piyasa verisi ve CLOB API’sinden 250.000’den fazla aktif piyasa içeren toplam 750 MB’lık bir paket paylaşıldığı duyuruldu.
Paylaşılanlara takipçi listeleri, ödül yapılandırmaları ve dahili kullanıcı kimlikleri de dahil edilmiş.
Ham verilere ek olarak pakette iddialara göre bazı proof-of-concept exploit’ler de yer aldı: Bunlar arasında CVE-2025-62718 olarak takip edilen Axios proxy atlatma açığı, CLOB API üzerinde CORS yanlış yapılandırması, Next.js middleware kimlik doğrulama atlatması ve satıcının “sınırsız sorgu büyüklüğü kabul ediyor” dediği bir sayfalama hatası bulunuyor.
Gönderideki “dump”, Polymarket’te erişim kontrollerinin kırık olduğuna kanıt olarak lanse edildi. Platformun bir ödül (bug bounty) programı yok ve sızdırma yapılmadan önce uyarı vermedikleri de iddialar arasında yer aldı.
Polymarket’ten Hızlı Yanıt
Polymarket hızlıca karşılık verdi. X’te yayımladığı bir açıklamada platform, tüm paylaşılan verilerin zincir üstünde veya resmi API uç noktalarından denetlenebilir olduğunu belirtti.
‘Zincir üstünde olmamızın güzelliği burada: Tüm verilerimiz kamuya açık ve denetlenebilir… Bu bir özellik, hata değil. “Veri sızdı” ifadesi yanlış—tüm bu verilere zaten kamuya açık uç noktalarımız ve zincir üstü bilgilerimizle ulaşılabiliyor.’ dedi.
Ekip, araştırmacıların bu bilgiler için forum satıcısına ödeme yapmasına gerek olmadığını belirtti. Platformun halihazırda bu bilgileri ücretsiz sunduğunu ve kullanıcılara API dokümantasyonunu incelemelerini önerdi.
Ödül Programı: Sınırlar ve Detaylar
Polymarket, platformda bug bounty olmadığını söyleyen iddiayı da yalanladı. Cantina ile yürütülen 5 milyon dolarlık bir ödül programı olduğunu öne çıkardı ve herkese açık API uç noktalarından veri çekmenin ödül kapsamına girmediğini vurguladı.
Ödül programına yalnızca fonlar, akıllı kontratlar veya özel kullanıcı verilerine yönelik doğrulanmış güvenlik açıkları dahil ediliyor.
Bu tartışma bir kez daha, tahmin platformları ve diğer zincir üstü projelerde yinelenen bir gerilimi ortaya koyuyor. Şeffaf defterler ile açıklama ve keşif arasındaki çizgi zaman zaman bulanıklaşıyor.
Polymarket’in tavrı, piyasa aktivitelerini açıkça sunmaya devam etmenin önemli bir risk taşımadığı yönünde. Bu yaklaşım, platform hakkında ortaya çıkabilecek yeni bulguların nasıl ele alınacağı konusunda sektöre örnek olabilir.
