Polymarketはハッカーの主張を否定、データは引き続き公開中

予測市場プラットフォームのPolymarketは、ダークウェブへの投稿がユーザーの個人情報を暴露したと主張するデータ侵害の報告が相次いだことに対し、強く反論した。「xorcat」というハンドルネームを使うハッカーとX上で拡散するサイバーセキュリティー関連のアカウントは、名前、プロフィール画像、プロキシウォレット、ベースアドレスを含む10,000件のフルプロフィールを含む30万件以上のレコードを盗んだと主張した。Polymarketはこれらの主張を「完全なでたらめ」と断じ、引用された情報はすでに公開されているものだと反論した。

この論争は、暗号資産セキュリティーコミュニティとオンチェーンデータ市場が先月のハッキングとデータ流出の波を監視する中で浮上した。HackenによるとWeb3プロジェクトは2026年第1四半期に44件の事案で約4億8,200万ドルをハッキングと詐欺によって失ったとされており、ハッカーや設定ミスが広範な事案に寄与している。こうした背景から、オンチェーンおよびAPIアクセス可能なシステムによってどれだけのデータが露出されているか、また何が侵害に該当し何が監査可能な公開データ表面に該当するかについて、精査が強まっている。

Polymarketの立場はX上での直接的な反論によって補強され、チームは侵害の主張は「完全なでたらめ」であり、盗まれたとされるデータはすでにオンラインでアクセス可能な情報だと述べた。別の投稿では、Polymarketは自社データのオンチェーンかつ公開監査可能な性質を強調した。「オンチェーンであることの素晴らしさの一つは、すべてのデータが公開監査可能であるという点であり、これはバグではなく機能です。データは流出していません。公開エンドポイントとオンチェーンデータ経由でアクセス可能です。データにお金を払う代わりに、APIを通じて無料でアクセスできます。」

ハッカーの主張は、侵害されたとされるAPIエンドポイントとオンチェーンデータを通じた侵害に焦点を当て、PolymarketのGammaおよびCLOB APIにおける未文書化のAPIエンドポイント、ページネーションバイパス、CORSの設定ミスが悪用されたと主張した。攻撃者はまた、今後数日以内に他の予測市場からより多くのデータを公開する計画を示唆した。

複数のセキュリティー研究者が侵害の話に懐疑的な見方を示した。Legalbockの脅威研究者兼最高セキュリティー責任者であるVladimir S.氏は、証拠はデータが真の侵害によって漏洩されたのではなく解析されたことを示唆していると警告し、実際のDBの侵害を反映している可能性は低いとした。

重要なポイント

• この事案はPolymarketからのデータ窃取の主張を中心としており、運営者はこれを事実無根として拒否し、報告されたデータは公開アクセス可能ですでに公開されていると主張している。
• Polymarketは、自社のデータはオンチェーンで公開監査可能な状態を維持しており、開発者とユーザーは公開APIを通じて無料で情報にアクセスできると強調している。
• プラットフォームはバグバウンティプログラムが存在しないというナラティブに反論し、4月16日に開始され、これまでに数百件の報告を受け取った稼働中のプログラムがあることを指摘し、主張されたデータ露出のタイミングと範囲について疑問を呈した。
• 業界の文脈が重要：ハッカーや設定ミスが2026年第1四半期に暗号資産セキュリティー事案の広範な波に寄与し、データ漏洩とアクセス制御の欠陥に対するセクターの継続的な脆弱性を浮き彫りにしている。
• 懐疑論者は、この主張が真の侵害ではなくデータの解析や誤解釈を反映している可能性があると主張し、オンチェーンデータの透明性と機密性の高いユーザーレベルのデータ露出との間の緊張を浮き彫りにしている。

Polymarketの対応とデータアクセスをめぐる議論

論争の中心にあるのは、データ侵害はなく、ハッカーが引用した情報はすでに公開されているというPolymarketの主張だ。X上での投稿でプラットフォームは、公開アクセス可能なAPIエンドポイントとオンチェーンデータの利用可能性により、ユーザーと開発者は侵入なしに同じデータを取得できると主張した。同社の立場は暗号資産における広範な議論と一致している。オンチェーンの活動が本質的に公開かつ監査可能である場合、どの時点で露出が侵害ではなくアーキテクチャの設計特性となるのか、という問いだ。

取引所はまたそのAPI戦略を指摘し、盗まれたと主張されているデータはセキュリティー上の侵害を意味するのではなく、APIを通じて誰でもアクセス可能であることを示唆した。このフレーミングはセキュリティーコミュニティから賛否両論の反応を引き起こしており、一部の専門家は特定のデータの公開性を認める一方で、他の専門家は機密性の高いユーザーメタデータ——特にウォレットアドレスとプロフィール識別子と組み合わせた場合——が技術的に公開されていても、プライバシー上の懸念を生じさせる可能性があると警告している。

Polymarketの具体的な事案を超えて、このエピソードは暗号資産インフラにおける長年の課題に触れている。それはオープン性と監査可能性をユーザーのプライバシー保護とどのようにバランスさせるかという問題だ。オンチェーンデータとAPIベースのアクセスは迅速な検証と透明性を可能にするが、適切に制御または匿名化されていない場合、データ収集と潜在的な悪用のための表面積を広げる可能性もある。この継続的な議論は、プラットフォームが公開可視データと機密または制限されたデータとを明確に区別する必要性を強調している。

バグバウンティプログラムとセキュリティー態勢

「バグバウンティなし」というナラティブへの中心的な反論は、Polymarketが述べたバグバウンティプログラムだ。プラットフォームは4月16日に開始し、これまでに数百件の報告——最新の更新時点で446件——を収集した稼働中の取り組みを示している。このペースは、現在の事案が公の目の前で展開されている中でも、脆弱性を特定して修正するための積極的な取り組みを示唆している。正式なバグバウンティプログラムの存在は継続的なセキュリティーの成熟度のシグナルとなり得るが、急速に進化する脅威環境においてバグ報告の範囲と修正の応答性についての精査を招くことにもなる。

業界の観察者は、新たな脆弱性や設定ミスがPolymarketのAPIレイヤーで引き続き発覚するかどうか、あるいは現在の事案が公開データの誤解釈に限定されたままかどうかを注視するだろう。バグバウンティ活動、開示タイムライン、インシデント対応の相互作用は、真の問題が浮上した場合にプラットフォームがどれだけ迅速に信頼を回復できるかの指標となるだろう。

業界の背景：セキュリティーインシデントとオンチェーンデータの透明性

より広い暗号資産セキュリティーの状況がPolymarketのエピソードに文脈を与えている。ハッカーや設定ミスがWeb3セキュリティーを最前線に押し出し、2026年第1四半期には多数のインシデントで注目すべき損失が報告された。総損失とインシデント数は情報源によって異なるが、この傾向は確立された市場や予測プラットフォームでさえ、データや金融的な優位性を求める攻撃者にとって魅力的なターゲットであり続けることを示している。

アナリストは、オンチェーンデータの公開性が両刃の剣になり得ると指摘している。迅速な検証と説明責任を可能にする一方で、ユーザーを特定する情報が透明性の高いトランザクションデータと絡み合った場合、プライバシーの考慮を複雑にする可能性もある。この環境では、オープン性を推進するプラットフォームは、進化する規制や市場の期待に対応するために、強固なアクセス制御、慎重なデータ最小化、ユーザー向けの明確なプライバシーポリシーも確保しなければならない。

Polymarketをめぐるナラティブが進化するにつれ、観察者はプラットフォームが継続的な精査にどのように対応するか、API設定とセキュリティー管理に関するより技術的な詳細を公開するかどうか、そしてバグバウンティの開示からの将来の調査結果をどのように伝えるかを見たいと思うだろう。セキュリティー研究者、取引所運営者、独立系研究者からの報告が、人気の予測プラットフォーム上のデータの信頼性に関する市場の認識を形作り続けるだろう。

今週の報道でCointelegraphは、その期間のセキュリティー状況に関するHackenの評価を引用し、2026年第1四半期にWeb3スペース全体で大量のエクスプロイトが発生したことを強調した。公開データのアクセス可能性と注目度の高いハックのナラティブの合流は、投資家とビルダーがプラットフォームによるデータ露出、APIセキュリティー、インシデント対応のリアルタイムな処理方法により注目している理由を明確にしている。

情報源：X上のPolymarketの投稿、サイバーセキュリティー研究者のコメント、HackenとCointelegraphが引用した業界データ。

Polymarketは独立した透明性のあるジャーナリズムに取り組んでいる。このニュース記事はCointelegraphの編集ポリシーに準拠し、正確でタイムリーな情報の提供を目的としている。読者には独自に情報を確認することをお勧めする。

この記事はもともとCrypto Breaking News——暗号資産ニュース、Bitcoinニュース、ブロックチェーンアップデートの信頼できる情報源——にPolymarket Refutes Hacker Claims, Data Remains Publicとして掲載されたものだ。