Polymarket réfute les allégations de hackers, les données restent publiques

Polymarket, la plateforme de marchés de prédiction, a réagi face à une vague de rapports alléguant une fuite de données après qu’un message sur le dark web aurait prétendument exposé des détails privés d’utilisateurs. Un hacker utilisant le pseudonyme “xorcat” et des comptes de cybersécurité circulant sur X ont affirmé avoir volé plus de 300 000 enregistrements, dont 10 000 profils complets avec noms, images de profil, portefeuilles proxy et adresses de base. Polymarket a qualifié ces allégations de “totalement absurdes”, arguant que les informations citées sont déjà accessibles publiquement.

La controverse est survenue alors que la communauté de la sécurité crypto et les marchés en chaîne surveillent une vague de piratages et d’exposition de données le mois dernier. Les hackers et les mauvaises configurations ont contribué à une série d’incidents, Hacken rapportant que les projets Web3 ont perdu environ 482 millions de dollars en piratages et escroqueries lors du premier trimestre 2026. Ce contexte a accru la vigilance quant à la quantité de données exposées par des systèmes accessibles en chaîne et via API, ainsi que sur ce qui constitue une violation versus une surface de données publiques auditable.

La position de Polymarket a été renforcée par une réfutation directe sur X, où l’équipe a déclaré que les allégations de violation étaient “totalement absurdes” et a noté que les données prétendument volées sont déjà accessibles en ligne. Dans un autre message, Polymarket a souligné la nature en chaîne et publiquement auditable de ses données : “Une partie de la beauté d’être sur la chaîne est que toutes nos données sont publiquement auditable, c’est une fonctionnalité, pas un bug. Aucune donnée n’a été divulguée, elle est accessible via nos points d’accès publics et en chaîne. Au lieu de payer pour les données, vous pouvez y accéder gratuitement via nos API.”

La revendication du hacker portait sur des violations via des points d’accès API prétendument compromis et des données en chaîne, avec des affirmations selon lesquelles des points d’accès API non documentés, un contournement de la pagination et des mauvaises configurations CORS sur les API Gamma et CLOB de Polymarket ont été exploités. L’attaquant a également suggéré des plans pour publier plus de données provenant d’autres marchés de prédiction dans les prochains jours.

Plusieurs chercheurs en sécurité ont exprimé leur scepticisme quant à l’histoire de la violation. Vladimir S., chercheur en menace et directeur de la sécurité chez Legalblock, a averti que les preuves suggéraient que les données avaient été analysées plutôt que réellement divulguées lors d’une véritable violation, décrivant le scénario comme peu probable de refléter une compromission réelle de la base de données.

Points clés à retenir

L’incident tourne autour d’une prétendue fuite de données de Polymarket, que l’opérateur rejette comme étant fausse, affirmant que les données rapportées sont déjà accessibles au public et publiées.

Polymarket maintient que ses données restent en chaîne et publiquement auditable, soulignant que les développeurs et utilisateurs peuvent accéder gratuitement à l’information via des API publiques.

La plateforme conteste l’idée qu’il n’y avait pas de programme de bug bounty, en mentionnant un programme en cours lancé le 16 avril et ayant depuis reçu des centaines de rapports—ce qui soulève des questions sur le timing et la portée de l’exposition présumée des données.

Le contexte sectoriel est important : les hackers et mauvaises configurations ont contribué à une vague large d’incidents de sécurité crypto au premier trimestre 2026, soulignant la vulnérabilité continue du secteur face aux fuites de données et aux failles de contrôle d’accès.

Les sceptiques soutiennent que la revendication pourrait refléter une analyse de données ou une mauvaise interprétation plutôt qu’une véritable violation, mettant en lumière la tension entre transparence en chaîne et exposition de données sensibles au niveau utilisateur.

Réponse de Polymarket et débat sur l’accès aux données

Au cœur du différend se trouve l’affirmation de Polymarket selon laquelle il n’y a pas eu de violation de données et que les informations citées par le hacker sont déjà publiques. Dans des messages observés sur X, la plateforme a argumenté que les points d’accès API accessibles au public et la disponibilité des données en chaîne signifient que les utilisateurs et développeurs peuvent récupérer les mêmes données sans intrusion. La position de l’entreprise s’aligne sur un débat plus large dans la crypto : lorsque l’activité en chaîne est intrinsèquement publique et auditable, à quel moment l’exposition devient-t-elle une violation plutôt qu’une caractéristique de conception de l’architecture ?

L’échange a également souligné sa stratégie API, suggérant que les données prétendument volées sont accessibles à tous via ses API plutôt que de représenter une faille de sécurité. Ce cadre a suscité des réactions mitigées dans la communauté de la sécurité, certains experts reconnaissant la nature publique de certaines données, tandis que d’autres mettent en garde contre le fait que l’exposition de métadonnées utilisateur sensibles—en particulier associées à des adresses de portefeuille et des identifiants de profil—pourrait soulever des préoccupations de confidentialité même si elles sont techniquement publiques.

Au-delà des spécificités de Polymarket, cet épisode touche à une problématique de longue date dans l’infrastructure crypto : comment équilibrer ouverture et auditabilité avec la protection de la vie privée des utilisateurs. Les données en chaîne et l’accès via API peuvent permettre une vérification rapide et une transparence, mais ils peuvent aussi élargir la surface d’attaque pour la collecte de données et leur mauvais usage si mal contrôlés ou anonymisés. La discussion en cours souligne l’importance pour les plateformes de définir clairement quelles données sont visibles publiquement versus celles considérées comme sensibles ou restreintes.

Programme de bug bounty et posture de sécurité

Un contrepoint central à la narration “pas de bug bounty” est le programme de bug bounty déclaré par Polymarket. La plateforme indique une initiative en cours débutée le 16 avril et ayant depuis recueilli des centaines de rapports—446, selon la dernière mise à jour. Cette cadence suggère un effort actif pour identifier et corriger les vulnérabilités, même si l’épisode actuel se déroule sous les projecteurs. L’existence d’un programme formel de bug bounty peut être un signe de maturité en sécurité continue, mais elle invite aussi à s’interroger sur la portée des rapports de bugs et la réactivité des corrections dans un environnement de menace en rapide évolution.

Les observateurs de l’industrie suivront si de nouvelles vulnérabilités ou mauvaises configurations continuent de surgir dans les couches API de Polymarket ou si l’épisode actuel reste limité à une mauvaise interprétation de données publiques. L’interaction entre activité de bug bounty, délais de divulgation et réponse à l’incident donnera une idée de la rapidité avec laquelle la plateforme pourra regagner la confiance si des problèmes réels émergent.

Contexte sectoriel : incidents de sécurité et transparence en chaîne

Le paysage plus large de la sécurité crypto ajoute du contexte à l’épisode Polymarket. Hackers et mauvaises configurations ont poussé la sécurité Web3 sur le devant de la scène, avec le premier trimestre 2026 rapportant des pertes notables dans de nombreux incidents. Bien que les pertes totales et le nombre d’incidents varient selon les sources, la tendance montre que même des marchés et plateformes de prédiction établis restent des cibles attrayantes pour des attaquants cherchant un avantage en données ou financier.

Les analystes notent que la nature publique des données en chaîne peut être une arme à double tranchant : elle permet une vérification rapide et une responsabilisation, mais peut aussi compliquer les considérations de confidentialité si des informations identifiables d’utilisateurs deviennent mêlées à des données de transaction transparentes. Dans cet environnement, les plateformes qui prônent l’ouverture doivent aussi assurer des contrôles d’accès robustes, une minimisation soigneuse des données, et des politiques de confidentialité claires pour naviguer dans les attentes réglementaires et du marché en évolution.

Au fur et à mesure que le récit autour de Polymarket évolue, les observateurs voudront voir comment la plateforme répondra aux contrôles continus, si elle publie plus de détails techniques sur ses configurations API et ses contrôles de sécurité, et comment elle communiquera sur d’éventuelles découvertes futures issues de divulgations de bug bounty. Les rapports de chercheurs en sécurité, opérateurs d’échanges et chercheurs indépendants continueront de façonner la perception du marché quant à la fiabilité des données sur les plateformes de prédiction populaires.

Dans ses reportages cette semaine, Cointelegraph s’est appuyé sur l’évaluation de Hacken concernant le paysage de sécurité du trimestre, soulignant que le premier trimestre 2026 a connu un volume important d’exploits dans l’espace Web3. La confluence de l’accessibilité publique des données et des récits de piratages de haut profil montre pourquoi investisseurs et développeurs prêtent une attention accrue à la gestion de l’exposition des données, à la sécurité des API et à la réponse aux incidents en temps réel.

Source : publications Polymarket sur X, commentaires de chercheurs en cybersécurité, et données sectorielles citées par Hacken et Cointelegraph.

Polymarket s’engage à une journalisme indépendant et transparent. Cet article respecte la politique éditoriale de Cointelegraph et vise à fournir des informations précises et à jour. Les lecteurs sont encouragés à vérifier eux-mêmes les informations.

Cet article a été publié à l’origine sous le titre Polymarket réfute les allégations de hackers, les données restent publiques sur Crypto Breaking News – votre source fiable pour l’actualité crypto, Bitcoin, et mises à jour blockchain.