Dark Web Klaim Peretasan Polymarket, tapi Platform Memberikan Tanggapan

Polymarket membantah tudingan adanya pelanggaran data setelah seorang pelaku ancaman bernama xorcat memposting 300.000 data di sebuah forum kejahatan siber. Platform decentralized prediction market itu menyatakan bahwa informasi tersebut sebenarnya sudah tersedia secara publik melalui API dan riwayat on-chain mereka.

Pelaku, yang muncul lewat akun pemantau Dark Web Informer, mengklaim telah mengambil data profil pengguna, komentar, data pasar, dan kode eksploitasi. Polymarket membalas, mengatakan bahwa pengungkapan ini merupakan fitur, bukan sebuah kerentanan.

Data Pengguna Polymarket Bocor?

Postingan di forum tersebut menawarkan satu paket berukuran 750 MB yang berisi sekitar 10.000 profil pengguna, 4.111 komentar, 48.536 pasar dari Gamma API milik Polymarket, serta lebih dari 250.000 pasar aktif dari CLOB API miliknya.

Pelaku itu juga menyisipkan daftar pengikut, konfigurasi hadiah, dan pengenal pengguna internal.

Selain data mentah, paket tersebut juga diduga memuat eksploit bukti konsep. Eksploit ini mencakup bypass proxy Axios dengan kode CVE-2025-62718, kesalahan konfigurasi CORS di CLOB API, bypass autentikasi middleware Next.js, serta celah pada sistem paginasi yang menurut penjual bisa menerima ukuran kueri tak terbatas.

Postingan itu menggambarkan dump tersebut sebagai bukti adanya kendali akses yang rusak di Polymarket dan mengklaim bahwa platform tidak punya program bug bounty dan mereka juga tidak pernah mendapat pemberitahuan sebelum publikasi data itu.

Respons Polymarket

Polymarket langsung menanggapi dalam beberapa jam. Pada sebuah pernyataan di X, platform itu menyebut semua data yang disebutkan dalam postingan sebenarnya dapat diaudit melalui on-chain atau dapat diakses melalui endpoint yang sudah mereka dokumentasikan.

Tim Polymarket menambahkan bahwa peneliti tidak perlu membayar penjual data di forum tersebut. Informasi itu sudah tersedia gratis melalui protokol resmi mereka. Tim juga mengarahkan pengguna ke dokumentasi API milik Polymarket.

Batasan Bug Bounty

Polymarket juga membantah klaim bahwa mereka tidak punya program bug bounty. Platform ini menyoroti program bug bounty senilai US$5 juta bersama Cantina, namun menegaskan bahwa scraping dari endpoint API publik tidak memenuhi syarat untuk mendapatkan hadiah.

Pengajuan yang memenuhi syarat adalah kerentanan yang sudah diverifikasi dan berpengaruh terhadap dana, kontrak, atau data pengguna privat.

Perselisihan ini mencerminkan ketegangan yang kerap terjadi di prediction market serta platform on-chain lainnya. Ledger transparan sering kali membuat batas antara pengungkapan dan penemuan menjadi kabur.

Sikap Polymarket menunjukkan bahwa mereka merasa tidak ada risiko besar untuk terus membuka aktivitas pasar secara publik. Respons ini mungkin juga akan memengaruhi cara temuan selanjutnya tentang platform ini dilaporkan.