ポリマーケット（Polymarket）、30万件のデータ漏えい疑惑を否定

Polymarketが30万件のデータ漏えい疑惑を否定

Xで活躍するサイバー犯罪監視者のDark Web Informer（ダーク・ウェブ・インフォーマー）は、分散型予測市場プラットフォームPolymarket（ポリマーケット）における大規模なデータ漏えいを指摘した。

‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified.
⠀
‣ Threat Actor: xorcat
‣… pic.twitter.com/UAmCL46pk3

— Dark Web Informer (@DarkWebInformer) April 28, 2026

Dark Web Informerは、APIの脆弱性を利用して30万件以上のレコードが抽出されたと主張する一方、Polymarket側は、ダークウェブ上で@xorcat名のユーザーが30万件以上の顧客データが盗まれた責任を主張しているスクリーンショットの共有から始まった。いわゆる攻撃者が言及した情報は、不正アクセスによるものではなく、既にAPIやオンチェーンのブロックチェーンデータを通じて公開されていたものだと述べた。

また、バグ報奨金制度がないとの指摘も否定し、セキュリティ研究者らもデータ漏えい疑惑に疑問を呈し、内部システムからの漏えいではなく、公開情報源からデータが収集された可能性を指摘した。

エクスプロイトの詳細

投稿によると、攻撃者は30万件以上のレコードを含むデータセット、エクスプロイトキット、および技術文書を公開した。

データセットには、プラットフォームに関する幅広いデータが含まれており、名前、ニックネーム、経歴、プロフィール画像、ウォレットアドレスなどの詳細情報を含む約1万件のユーザープロファイルが含まれている。また、公開されたデータには、25万件以上のアクティブなマーケットレコード、4万8千件のガンママーケット、ユーザーアカウントに関連付けられた数千件のコメントも含まれていたという。さらに、フォロワープロファイル、内部ユーザー識別子、イーサリアム（Ethereum）アドレスに関連付けられたレポートも含まれている。データセットの総サイズは、抽出された状態で約750MBとされている。約8.3MBの圧縮版も共有された。

Polymarketは情報漏えいを否定

Polymarketは公式に反論し、これらの主張を「全くのナンセンス」として否定。

今回の事件の描写に異議を唱え、個人データの漏えいや侵害は一切なく、言及されている情報はすべて、同社のAPIおよびブロックチェーンベースのシステムを通じて既に公開されていると述べた。Polymarketは、透明性が分散型インフラストラクチャーの中核的な特徴であることを強調し、問題となっているデータは、保護されたシステムを悪用することなく自由にアクセスでき、これらの主張はプラットフォームの運用方法を誤って伝えていると説明した。

Also, we do have a $5 million bug bounty program… and, no, hitting our public API endpoints does not qualify:https://t.co/yH3JW5jIUX

— Polymarket (@Polymarket) April 28, 2026

さらにPolymarketは、バグ報奨金プログラムがないとの主張にも反論。同社は、重大な脆弱性発見に対して最大500万ドル（約8億円）の報奨金を提供する活発なプログラムを運営していることを確認。同社は、公開エンドポイントへのアクセスは、同社のルール上、脆弱性には該当しないと明言した。