Un individu opérant sous le pseudonyme “Xorcat” affirme avoir extrait jusqu’à 300 000 enregistrements depuis la plateforme Polymarket. L’entreprise dément toute compromission et évoque une collecte de données publiques. Entre description technique et version officielle, les faits restent disputés.
Une extraction de données présentée comme une intrusion
Le 27 avril, des données attribuées à Polymarket apparaissent sur un forum cybercriminel et sur Telegram. À l’origine de la publication, un acteur se faisant appeler “Xorcat”, qui revendique une opération d’ampleur sur la plateforme de prédiction basée sur la blockchain.
Selon ses déclarations, plusieurs mécanismes auraient été exploités. L’attaquant évoque l’utilisation d’API non documentées ainsi qu’un contournement du système de pagination du carnet d’ordres (CLOB), permettant de récupérer un volume important d’informations en une seule requête. Il mentionne également une mauvaise configuration CORS, susceptible de faciliter l’émission de requêtes en simulant un utilisateur authentifié.
Les fichiers diffusés représenteraient environ 2,24 Go de données, incluant des profils utilisateurs, des interactions et des informations liées aux marchés. Parmi les éléments évoqués figurent des noms, biographies et adresses de portefeuilles, ainsi que des identifiants internes. Certaines données concernent également les marchés actifs, les événements et les mécanismes de récompense. La présence d’un champ nommé “admin_auth_addr” soulève la question d’un éventuel accès à des composants internes.
Polymarket dément toute fuite de données
De son côté, Polymarket rejette fermement l’existence d’une compromission. L’entreprise affirme qu’aucune intrusion n’a eu lieu et que les données présentées comme exfiltrées sont, pour une large part, déjà accessibles publiquement.
La plateforme met en avant son fonctionnement basé sur la blockchain, qui implique un certain niveau de transparence sur les données liées aux transactions et aux marchés. Dans cette optique, les informations diffusées correspondraient à des données ouvertes, simplement agrégées.
Polymarket conteste également la version de l’attaquant concernant l’absence de programme de bug bounty. L’entreprise indique en avoir mis un en place le 16 avril et avoir déjà reçu de nombreux signalements.
You “compromised” our platform by accessing publicly accessible API endpoints & on-chain data and… *checks notes* are trying to sell the data we offer developers for free?
Which VC paid you to post this? https://t.co/fdvD68Xr4A
— Polymarket Developers (@PolymarketDevs) April 28, 2026
Des données publiques potentiellement réassemblées
L’hypothèse avancée par Polymarket est celle d’un scraping, c’est-à-dire une collecte automatisée de données accessibles sans authentification. Ce type de pratique permet de reconstituer des ensembles d’informations structurés à partir de sources ouvertes.
Même en l’absence de compromission confirmée, la diffusion de ces données peut néanmoins produire des effets concrets. La mise en relation d’éléments tels que des profils utilisateurs et des adresses de portefeuilles est susceptible de rendre certaines activités plus lisibles.
