Polymarket negó una filtración tras la difusión de 300.000 registros y aseguró que los datos ya eran públicos en blockchain y sus APIS
30.04.2026 • 11:19hs • Polémica
Polémica
Polymarket asegura que no hubo hackeo: los datos filtrados ya eran públicos en blockchain
:quality(75):max_bytes(102400)/https://assets.iproup.com/assets/jpg/2025/10/44769.jpg)
La plataforma de predicción descentralizada Polymarket negó haber sufrido una filtración de datos luego de que un actor conocido como "xorcat" publicó cerca de 300.000 registros en un foro vinculado a la ciberdelincuencia.
Según confirmó la plataforma, la información difundida no proviene de un acceso vulnerado, sino que ya está disponible públicamente a través de sus interfaces y del historial en blockchain.
¿Qué información se filtró?
La controversia se conoció después del alerta de la cuenta de monitoreo Dark Web Informer, que reportó que el actor malicioso afirmó haber extraído perfiles de usuarios, comentarios, datos de mercados e incluso código de exploit.
La publicación en el foro ofrecía un paquete de aproximadamente 750 MB que incluiría unos 10.000 perfiles, más de 4.000 comentarios, decenas de miles de mercados provenientes de la API Gamma y más de 250.000 mercados activos de su API CLOB.
Desde Polymarket desestimaron rápidamente la gravedad del incidente, y desde su cuenta de X dijeron: "Parte de la belleza de estar on chain es que todos nuestros datos son auditables públicamente… esto es una característica, no un error".
En la misma línea, desde la plataforma subrayaron que "no se filtró ningún dato", ya que toda la información puede consultarse libremente mediante endpoints públicos o directamente en la blockchain.
Por otro lado, desde Polymarket también cuestionaron la narrativa del presunto atacante, ya que los investigadores o interesados no necesitan pagar por esos datos en foros clandestinos, dado que el propio protocolo los ofrece de forma gratuita.
Como recomendación, desde la plataforma instaron a los usuarios a revisar la documentación oficial de su API para comprender mejor el acceso a estos datos.
¿Qué datos se vieron comprometidos?
No obstante, el paquete difundido incluía elementos que generaron preocupación, como listas de seguidores, configuraciones de recompensas, identificadores internos de usuarios y supuestos exploits de prueba de concepto.
Entre las vulnerabilidades mencionadas figuraban una omisión del proxy Axios registrada como CVE-2025-62718, problemas de configuración CORS en la API CLOB, fallas de autenticación en middleware de Next.js y errores de paginación que permitirían consultas sin límite de tamaño.
El actor presentó estos hallazgos como evidencia de controles de acceso deficientes y criticó a la plataforma por no contar con un programa de recompensas por errores (bug bounty), además de asegurar que no hubo notificación previa antes de la publicación.
A pesar de estas acusaciones, Polymarket sostiene que la transparencia inherente a su arquitectura basada en blockchain implica que gran parte de los datos son, por diseño, públicos y verificables. El episodio reabre el debate sobre los límites entre la transparencia radical de los sistemas descentralizados y las expectativas de privacidad y seguridad de los usuarios.
