Dark Web ने Polymarket हैक का दावा किया, Platform ने किया पलटवार

के द्वारा लिखा गया

Phil Haunhorst

के द्वारा edit किया गया

Mohammad Shahid

प्रकाशित:29 अप्रैल 2026, 11:06 UTC

Polymarket ने 300,000 रिकॉर्ड लीक होने के दावे को नकारा
प्लेटफॉर्म का कहना है कि इसके API और ऑन-चेन के जरिए सारा डेटा पब्लिक है
Polymarket ने Cantina के साथ होस्ट किए गए अपने $5 मिलियन के बग बाउंटी की तरफ इशारा किया

Polymarket ने डेटा ब्रीच के दावों को खारिज किया है, जिसमें xorcat नाम के एक थ्रेट एक्टर ने एक साइबरक्राइम फोरम पर 300,000 रिकॉर्ड पोस्ट किए थे। डिसेंट्रलाइज्ड prediction market ने कहा कि यह जानकारी उसकी API और ऑन-चेन हिस्ट्री के ज़रिए पब्लिकली उपलब्ध है।

Dark Web Informer की मॉनिटरिंग से सामने आए इस एक्टर ने दावा किया कि उसने यूज़र प्रोफाइल्स, कमेंट्स, मार्केट डेटा और एक्सप्लॉइट कोड निकाले हैं। Polymarket ने इसका जवाब देते हुए कहा कि यह डिस्क्लोजर कोई वल्नरेबिलिटी नहीं, बल्कि एक फीचर है।

You "compromised" our platform by accessing publicly accessible API endpoints & on-chain data and… *checks notes* are trying to sell the data we offer developers for free?

Which VC paid you to post this? https://t.co/fdvD68Xr4A
— Polymarket Developers (@PolymarketDevs) April 28, 2026

Polymarket यूज़र डेटा लीक?

फोरम पोस्ट में 750 MB का पैक एडवर्टाइज किया गया, जिसमें लगभग 10,000 यूज़र प्रोफाइल्स, 4,111 कमेंट्स, Polymarket की Gamma API से 48,536 मार्केट्स और CLOB API से 2,50,000 से ज्यादा एक्टिव मार्केट्स शामिल हैं।

एक्टर ने फॉलोअर लिस्ट्स, रिवार्ड कंफिगरेशन और इंटरनल यूज़र आइडेंटिफायर्स भी शामिल किए हैं।

इन रॉ डेटा से अलग, पैकेज में कथित तौर पर प्रूफ-ऑफ-कॉन्सेप्ट एक्सप्लॉइट्स भी शामिल हैं। इनमें एक Axios प्रॉक्सी बायपास (CVE-2025-62718), CLOB API पर CORS मिसकंफिगरेशन, Next.js मिडलवेयर ऑथेंटिकेशन बायपास और एक पेजिनेशन फ्ला शामिल है, जिसमें अनलिमिटेड क्वेरी साइज को एक्सेप्ट कर लिया जाता है।

पोस्ट में इस डंप को Polymarket की टूटी हुई एक्सेस कंट्रोल का सबूत बताया गया है और दावा किया गया कि प्लेटफॉर्म के पास कोई बग बाउंटी प्रोग्राम नहीं है और उन्हें पब्लिकेशन से पहले कभी सूचित नहीं किया गया।

Polymarket का जवाब

Polymarket ने कुछ घंटों के अंदर ही जवाब दिया। X पर एक स्टेटमेंट में, प्लेटफॉर्म ने कहा कि पोस्ट में बताया गया सारा डेटा ऑन-चेन ऑडिटेबल है या उसके डाक्यूमेंटेड एंडपॉइंट्स के ज़रिए उपलब्ध है।

“ऑन-चेन होने का सबसे बड़ा फायदा यह है कि हमारा सारा डेटा पब्लिकली ऑडिटेबल है… यह एक फीचर है, बग नहीं। कोई डेटा ‘लीक’ नहीं हुआ — यह हमारे पब्लिक एंडपॉइंट्स और ऑन-चेन डेटा के ज़रिए एक्सेस किया जा सकता है।”

टीम ने कहा कि रिसर्चर्स को ये डेटा पाने के लिए फोरम सेलर को पैसे देने की ज़रूरत नहीं है। ये जानकारी पहले से प्रोटोकॉल द्वारा फ्री में जारी की गई है। टीम ने यूज़र्स को अपनी API डाक्यूमेंटेशन देखने की सलाह दी।

बग बाउंटी की लिमिट्स

Polymarket ने यह भी साफ किया कि बग बाउंटी प्रोग्राम ना होने का दावा गलत है। प्लेटफॉर्म ने अपनी $5 मिलियन प्रोग्राम को highlight किया, जिसे Cantina के साथ होस्ट किया गया है, साथ में यह भी बताया कि पब्लिक API एंडपॉइंट की scraping के लिए कोई रिवॉर्ड नहीं मिलता।

योग्य सबमिशन्स में फंड्स, कॉन्ट्रैक्ट्स या प्राइवेट यूज़र डेटा से जुड़ी वेरिफाइड वल्नरेबिलिटीज शामिल होती हैं।

यह विवाद prediction markets और दूसरी ऑन-चेन प्लेटफॉर्म्स में बार-बार दिखने वाले टेंशन जैसा ही है। ट्रांसपैरेंट लेजर्स में अक्सर डिस्क्लोजर और डिस्कवरी के बीच की लाइन ब्लर हो जाती है।

Polymarket के स्टैंड से ऐसा लगता है कि वे मार्केट एक्टिविटी को एक्सपोज करने में कोई रिस्क नहीं मानते। इसका जवाब इस बात को shape दे सकता है कि आगे प्लेटफॉर्म से जुड़ी फाइंडिंग्स कैसे रिपोर्ट की जाती हैं।

हमारी वेबसाइट पर सभी जानकारी अच्छे इरादे से और केवल सामान्य सूचना के उद्देश्य से प्रकाशित की जाती है, ताकि पाठक जागरूक रह सकें। हमारी वेबसाइट पर दी गई जानकारी के आधार पर पाठक द्वारा की गई प्रत्येक कार्रवाई पूरी तरह से उनके अपने जोखिम पर होती है। कृपया हमारी नियम और शर्तें, गोपनीयता नीति और अस्वीकरण पढ़ें।