Polymarket refuta alegações de hackers, dados permanecem públicos

A Polymarket, plataforma de mercados de previsão, rejeitou uma onda de relatos que alegavam uma violação de dados após uma publicação na dark web afirmar expor detalhes privados de utilizadores. Um hacker com o pseudónimo "xorcat" e contas de cibersegurança em circulação no X afirmaram ter roubado mais de 300.000 registos, incluindo 10.000 perfis completos com nomes, imagens de perfil, carteiras proxy e endereços base. A Polymarket classificou as alegações como "completo e absoluto disparate", argumentando que as informações citadas já estão disponíveis publicamente.

A controvérsia surgiu enquanto a comunidade de segurança cripto e os mercados on-chain monitorizam uma vaga de ataques e exposição de dados no mês passado. Hackers e configurações incorretas contribuíram para um vasto conjunto de incidentes, com a Hacken a reportar que os projetos Web3 perderam cerca de 482 milhões de dólares em ataques e golpes online em 44 eventos no primeiro trimestre de 2026. Este contexto intensificou o escrutínio sobre a quantidade de dados expostos por sistemas on-chain e acessíveis via API, e o que constitui uma violação versus uma superfície de dados públicos auditável.

A posição da Polymarket foi reforçada por uma refutação direta no X, onde a equipa afirmou que as alegações de violação eram "completo e absoluto disparate" e observou que os dados alegadamente roubados são informações já acessíveis online. Numa outra publicação, a Polymarket destacou a natureza on-chain e publicamente auditável dos seus dados: "Parte da beleza de estar on-chain é que todos os nossos dados são publicamente auditáveis — isto é uma funcionalidade, não um erro. Nenhum dado foi divulgado; está acessível através dos nossos endpoints públicos e dados on-chain. Em vez de pagar pelos dados, pode aceder gratuitamente através das nossas APIs."

A alegação do hacker centrou-se em violações através de endpoints de API alegadamente comprometidos e dados on-chain, com afirmações de que endpoints de API não documentados, contorno de paginação e configurações incorretas de CORS nas APIs Gamma e CLOB da Polymarket foram explorados. O atacante também sugeriu planos para divulgar mais dados de outros mercados de previsão nos próximos dias.

Vários investigadores de segurança expressaram ceticismo relativamente à história da violação. Vladimir S., investigador de ameaças e diretor de segurança da Legalblock, alertou que as evidências sugeriam que os dados foram analisados e não divulgados numa verdadeira violação, descrevendo o cenário como improvável de refletir um comprometimento real de base de dados.

Principais conclusões

• O incidente centra-se numa alegação de roubo de dados da Polymarket, que o operador rejeita como falsa, afirmando que os dados reportados são publicamente acessíveis e já publicados.
• A Polymarket mantém que os seus dados permanecem on-chain e publicamente auditáveis, salientando que os programadores e utilizadores podem aceder às informações gratuitamente através de APIs públicas.
• A plataforma contraria a narrativa de que não existia um programa de bug bounty, referindo um programa ativo iniciado a 16 de abril que recebeu centenas de relatórios — levantando questões sobre o momento e o âmbito da alegada exposição de dados.
• O contexto da indústria é relevante: hackers e configurações incorretas contribuíram para uma vasta vaga de incidentes de segurança cripto no primeiro trimestre de 2026, sublinhando a vulnerabilidade contínua do setor a fugas de dados e falhas de controlo de acesso.
• Os céticos argumentam que a alegação pode refletir análise ou interpretação incorreta de dados em vez de uma verdadeira violação, destacando a tensão entre a transparência on-chain e a exposição de dados sensíveis ao nível do utilizador.

A resposta da Polymarket e o debate sobre o acesso a dados

No centro da disputa está a afirmação da Polymarket de que não houve nenhuma violação de dados e que as informações citadas pelo hacker já são públicas. Em publicações observadas no X, a plataforma argumentou que os endpoints de API publicamente acessíveis e a disponibilidade de dados on-chain significam que os utilizadores e programadores podem recuperar os mesmos dados sem qualquer intrusão. A posição da empresa alinha-se com um debate mais amplo no setor cripto: quando a atividade on-chain é inerentemente pública e auditável, a partir de que ponto a exposição se torna uma violação em vez de uma característica de design da arquitetura?

A plataforma apontou igualmente para a sua estratégia de API, sugerindo que os dados alegadamente roubados estão acessíveis a qualquer pessoa através das suas APIs, em vez de representarem um comprometimento de segurança. Esta abordagem gerou reações mistas na comunidade de segurança, com alguns especialistas a reconhecerem a natureza pública de certos dados, enquanto outros alertam que expor metadados sensíveis de utilizadores — especialmente combinados com endereços de carteira e identificadores de perfil — pode levantar preocupações de privacidade mesmo que sejam tecnicamente públicos.

Para além das especificidades da Polymarket, o episódio toca numa questão de longa data na infraestrutura cripto: como equilibrar a abertura e a auditabilidade com a proteção da privacidade dos utilizadores. Os dados on-chain e o acesso baseado em API podem permitir verificação rápida e transparência, mas também podem ampliar a superfície de recolha de dados e o potencial uso indevido se não forem devidamente controlados ou anonimizados. A discussão em curso sublinha por que razão as plataformas devem delimitar claramente os dados que são publicamente visíveis versus os que são considerados sensíveis ou restritos.

Programa de bug bounty e postura de segurança

Um contraponto central à narrativa do "sem bug bounty" é o programa de bug bounty declarado pela Polymarket. A plataforma indica uma iniciativa ativa iniciada a 16 de abril que recolheu centenas de relatórios — 446, de acordo com a atualização mais recente. Este ritmo sugere um esforço ativo para identificar e corrigir vulnerabilidades, mesmo enquanto o episódio atual se desenrola publicamente. A existência de um programa formal de bug bounty pode ser um sinal de maturidade de segurança contínua, mas também convida ao escrutínio sobre o âmbito dos relatórios de erros e a capacidade de resposta das correções num ambiente de ameaças em rápida evolução.

Os observadores da indústria estarão atentos a se novas vulnerabilidades ou configurações incorretas continuam a surgir nas camadas de API da Polymarket, ou se o episódio atual permanece limitado a uma interpretação incorreta de dados publicamente disponíveis. A interação entre a atividade de bug bounty, os prazos de divulgação e a resposta a incidentes permitirá avaliar a rapidez com que a plataforma pode recuperar a confiança caso surjam problemas genuínos.

Contexto da indústria: incidentes de segurança e transparência on-chain

O panorama mais amplo de segurança cripto contextualiza o episódio da Polymarket. Hackers e configurações incorretas empurraram a segurança Web3 para primeiro plano, com o primeiro trimestre de 2026 a registar perdas notáveis em inúmeros incidentes. Embora as perdas totais e o número de incidentes variem consoante a fonte, a tendência ilustra que mesmo os mercados estabelecidos e as plataformas de previsão continuam a ser alvos atrativos para atacantes que procuram uma vantagem de dados ou financeira.

Os analistas observam que a natureza pública dos dados on-chain pode ser uma faca de dois gumes: permite verificação rápida e responsabilização, mas também pode complicar as considerações de privacidade se as informações de identificação dos utilizadores ficarem entrelaçadas com dados de transações transparentes. Neste ambiente, as plataformas que defendem a abertura devem também garantir controlos de acesso robustos, minimização cuidadosa de dados e políticas de privacidade claras para os utilizadores, de forma a navegar nas expectativas regulatórias e de mercado em evolução.

À medida que a narrativa em torno da Polymarket evolui, os observadores vão querer ver como a plataforma responde ao escrutínio contínuo, se publica mais detalhes técnicos sobre as suas configurações de API e controlos de segurança, e como comunica quaisquer descobertas futuras provenientes de divulgações de bug bounty. Os relatórios de investigadores de segurança, operadores de exchanges e investigadores independentes continuarão a moldar as perceções do mercado sobre a fiabilidade dos dados em plataformas de previsão populares.

Na cobertura desta semana, o Cointelegraph baseou-se na avaliação da Hacken sobre o panorama de segurança do período, sublinhando que o primeiro trimestre de 2026 registou um volume significativo de exploits em todo o espaço Web3. A confluência de acessibilidade a dados públicos e narrativas de ataques de alto perfil torna claro por que razão os investidores e os criadores estão a prestar mais atenção à forma como as plataformas gerem a exposição de dados, a segurança de API e a resposta a incidentes em tempo real.

Fonte: publicações da Polymarket no X, comentários de investigadores de cibersegurança e dados da indústria citados pela Hacken e pelo Cointelegraph.

A Polymarket está comprometida com o jornalismo independente e transparente. Este artigo de notícias segue a Política Editorial do Cointelegraph e tem como objetivo fornecer informações precisas e oportunas. Os leitores são encorajados a verificar as informações de forma independente.

Este artigo foi originalmente publicado como Polymarket Refutes Hacker Claims, Data Remains Public no Crypto Breaking News — a sua fonte de confiança para notícias cripto, notícias sobre Bitcoin e atualizações de blockchain.