پولیمارکت ادعاهای هکر را رد کرد، داده‌ها همچنان عمومی است

Polymarket، پلتفرم بازارهای پیش‌بینی، در برابر موجی از گزارش‌هایی که ادعای نقض داده می‌کردند واکنش نشان داد؛ پس از آنکه یک پست در دارک وب مدعی افشای اطلاعات خصوصی کاربران شد. یک هکر با نام مستعار "xorcat" و حساب‌های امنیت سایبری در حال گردش در X ادعا کردند که بیش از ۳۰۰٬۰۰۰ رکورد را به سرقت برده‌اند، از جمله ۱۰٬۰۰۰ پروفایل کامل شامل نام، تصویر پروفایل، کیف‌پول‌های پروکسی و آدرس‌های پایه. Polymarket این ادعاها را «کاملاً و به طور مطلق مزخرف» توصیف کرد و استدلال کرد که اطلاعات مذکور از پیش در دسترس عموم قرار دارد.

این جنجال در حالی مطرح شد که جامعه امنیتی کریپتو و بازارهای درون زنجیره‌ای موجی از هک‌ها و افشای داده‌ها در ماه گذشته را رصد می‌کنند. هکرها و پیکربندی‌های نادرست به مجموعه گسترده‌ای از حوادث دامن زده‌اند؛ Hacken گزارش داده که پروژه‌های Web3 در سه‌ماهه اول ۲۰۲۶ در مجموع حدود ۴۸۲ میلیون دلار در ۴۴ رویداد هک و کلاهبرداری از دست داده‌اند. این پس‌زمینه، بررسی دقیق‌تر میزان داده‌های در معرض نمایش توسط سیستم‌های درون زنجیره‌ای و قابل دسترس از طریق API را افزایش داده و این سؤال را مطرح کرده که چه چیزی نقض محسوب می‌شود در مقابل یک سطح داده عمومی قابل حسابرسی.

موضع Polymarket با یک رد مستقیم در X تقویت شد، جایی که تیم گفت ادعاهای نقض «کاملاً و به طور مطلق مزخرف» است و خاطرنشان کرد که داده‌های ادعایاً دزدیده‌شده اطلاعاتی هستند که از قبل به صورت آنلاین قابل دسترس بوده‌اند. در پست دیگری، Polymarket بر ماهیت درون زنجیره‌ای و قابل حسابرسی عمومی داده‌هایش تأکید کرد: «بخشی از زیبایی حضور روی زنجیره این است که تمام داده‌های ما به صورت عمومی قابل حسابرسی هستند، این یک ویژگی است، نه یک باگ. هیچ داده‌ای فاش نشده، از طریق نقاط انتهایی عمومی و داده های درون زنجیره ای ما قابل دسترس است. به جای پرداخت هزینه برای داده‌ها، می‌توانید از طریق API های ما به صورت رایگان به آن‌ها دسترسی داشته باشید.»

ادعای هکر بر نقض از طریق نقاط انتهایی API ادعایاً به خطر افتاده و داده های درون زنجیره ای متمرکز بود، با این ادعاها که نقاط انتهایی API مستندنشده، دور زدن صفحه‌بندی، و پیکربندی‌های نادرست CORS در API های Gamma و CLOB پلتفرم Polymarket مورد سوءاستفاده قرار گرفته‌اند. مهاجم همچنین برنامه‌هایی را برای انتشار داده‌های بیشتر از سایر بازارهای پیش‌بینی در روزهای آینده پیشنهاد داد.

چندین محقق امنیتی تردید خود را نسبت به داستان نقض ابراز کردند. Vladimir S.، محقق تهدید و مدیر ارشد امنیت در Legalblock، هشدار داد که شواهد نشان می‌دهد داده‌ها تجزیه شده‌اند نه اینکه در یک نقض واقعی فاش شده باشند، و این سناریو را بعید دانست که نشان‌دهنده یک مصالحه واقعی در پایگاه داده باشد.

نکات کلیدی

• این حادثه بر ادعای سرقت داده از Polymarket متمرکز است که اپراتور آن را دروغ می‌داند و اصرار دارد که داده‌های گزارش‌شده به صورت عمومی قابل دسترس و از قبل منتشر شده هستند.
• Polymarket اصرار دارد که داده‌هایش درون زنجیره‌ای و به صورت عمومی قابل حسابرسی باقی می‌ماند و تأکید می‌کند که توسعه‌دهندگان و کاربران می‌توانند از طریق API های عمومی به صورت رایگان به اطلاعات دسترسی داشته باشند.
• پلتفرم روایتی را که هیچ برنامه bug bounty وجود نداشت رد می‌کند و به یک برنامه فعال که از ۲۶ فروردین (۱۶ آوریل) آغاز شده و از آن زمان صدها گزارش دریافت کرده اشاره می‌کند - که سؤالاتی را درباره زمان‌بندی و دامنه افشای داده ادعایی مطرح می‌کند.
• زمینه صنعت اهمیت دارد: هکرها و پیکربندی‌های نادرست در سه‌ماهه اول ۲۰۲۶ به موجی گسترده از حوادث امنیتی کریپتو دامن زدند و آسیب‌پذیری مداوم این بخش در برابر نشت داده و نقص‌های کنترل دسترسی را نشان دادند.
• منتقدان استدلال می‌کنند که این ادعا می‌تواند نشان‌دهنده تجزیه داده یا سوءتفسیر باشد نه یک نقض واقعی، و تنش بین شفافیت درون زنجیره‌ای و افشای داده‌های حساس در سطح کاربر را برجسته می‌کند.

پاسخ Polymarket و بحث دسترسی به داده

در مرکز این اختلاف، ادعای Polymarket است که هیچ نقض داده‌ای رخ نداده و اطلاعات مورد استناد هکر از قبل عمومی است. در پست‌های مشاهده‌شده در X، پلتفرم استدلال کرد که نقاط انتهایی API قابل دسترس عموم و در دسترس بودن داده های درون زنجیره ای به این معنی است که کاربران و توسعه‌دهندگان می‌توانند همان داده‌ها را بدون نفوذ بازیابی کنند. موضع شرکت با یک بحث گسترده‌تر در کریپتو همسو است: وقتی فعالیت درون زنجیره‌ای ذاتاً عمومی و قابل حسابرسی است، در چه نقطه‌ای افشا به نقض تبدیل می‌شود نه یک ویژگی طراحی معماری؟

صرافی همچنین به استراتژی API خود اشاره کرد و پیشنهاد داد که داده‌هایی که ادعا می‌شود دزدیده شده‌اند از طریق API های آن برای همه قابل دسترس است نه اینکه نشان‌دهنده یک مصالحه امنیتی باشد. این چارچوب‌بندی واکنش‌های متفاوتی از جامعه امنیتی به دنبال داشته؛ برخی کارشناسان ماهیت عمومی برخی داده‌ها را می‌پذیرند در حالی که برخی دیگر هشدار می‌دهند که افشای متادیتای حساس کاربر - به ویژه همراه با آدرس‌های کیف‌پول و شناسه‌های پروفایل - می‌تواند نگرانی‌های حریم خصوصی را حتی اگر از نظر فنی عمومی باشد برانگیزد.

فراتر از جزئیات Polymarket، این اپیزود به یک مسئله طولانی‌مدت‌تر در زیرساخت کریپتو اشاره می‌کند: چگونه باز بودن و قابلیت حسابرسی را با حفاظت از حریم خصوصی کاربر متوازن کنیم. داده های درون زنجیره ای و دسترسی مبتنی بر API می‌توانند تأیید سریع و شفافیت را ممکن سازند، اما ممکن است سطح جمع‌آوری داده و سوءاستفاده احتمالی را نیز اگر به درستی کنترل یا ناشناس نشوند گسترش دهند. بحث جاری نشان می‌دهد چرا پلتفرم‌ها باید به وضوح مشخص کنند کدام داده‌ها به صورت عمومی قابل مشاهده هستند در مقابل آنچه حساس یا محدود تلقی می‌شود.

برنامه bug bounty و وضعیت امنیتی

یک نقطه مقابل اصلی در برابر روایت «بدون bug bounty»، برنامه bug bounty اعلام‌شده Polymarket است. پلتفرم یک ابتکار فعال را نشان می‌دهد که از ۲۶ فروردین (۱۶ آوریل) آغاز شده و از آن زمان صدها گزارش جمع‌آوری کرده - ۴۴۶ گزارش تا آخرین به‌روزرسانی. این روند نشان‌دهنده یک تلاش فعال برای شناسایی و رفع آسیب‌پذیری‌هاست، حتی در حالی که اپیزود جاری در چشم عموم رخ می‌دهد. وجود یک برنامه رسمی bug bounty می‌تواند نشانه‌ای از بلوغ امنیتی مداوم باشد، اما همچنین بررسی دقیق دامنه گزارش‌دهی باگ و پاسخگویی رفع‌ها در یک محیط تهدید در حال تکامل سریع را دعوت می‌کند.

ناظران صنعت نظاره‌گر خواهند بود که آیا آسیب‌پذیری‌ها یا پیکربندی‌های نادرست جدید در لایه‌های API پلتفرم Polymarket ادامه می‌یابند یا اینکه اپیزود جاری محدود به سوءتفسیر داده‌های در دسترس عموم باقی می‌ماند. تعامل بین فعالیت bug bounty، جدول زمانی افشا، و واکنش به حادثه نشان خواهد داد که پلتفرم چقدر سریع می‌تواند اعتماد را بازیابی کند اگر مشکلات واقعی ظاهر شوند.

پس‌زمینه صنعت: حوادث امنیتی و شفافیت درون زنجیره‌ای

چشم‌انداز گسترده‌تر امنیت کریپتو زمینه‌ای به اپیزود Polymarket می‌افزاید. هکرها و پیکربندی‌های نادرست امنیت Web3 را به خط مقدم هل داده‌اند و سه‌ماهه اول ۲۰۲۶ زیان‌های قابل توجهی را در حوادث متعدد گزارش داد. در حالی که کل زیان‌ها و تعداد حوادث بسته به منبع متفاوت است، این روند نشان می‌دهد که حتی بازارهای تثبیت‌شده و پلتفرم‌های پیش‌بینی هدف جذابی برای مهاجمانی هستند که به دنبال مزیت داده‌ای یا مالی هستند.

تحلیلگران خاطرنشان می‌کنند که ماهیت عمومی داده های درون زنجیره ای می‌تواند یک شمشیر دو لبه باشد: تأیید سریع و پاسخگویی را ممکن می‌سازد اما همچنین می‌تواند ملاحظات حریم خصوصی را پیچیده کند اگر اطلاعات شناسایی‌کننده کاربر با داده‌های تراکنش شفاف درهم تنیده شود. در این محیط، پلتفرم‌هایی که از باز بودن حمایت می‌کنند باید کنترل‌های دسترسی قوی، کمینه‌سازی دقیق داده، و سیاست‌های حریم خصوصی شفاف رو به کاربر را نیز تضمین کنند تا انتظارات نظارتی و بازاری در حال تکامل را دنبال کنند.

با تکامل روایت پیرامون Polymarket، ناظران می‌خواهند ببینند که پلتفرم چگونه به بررسی دقیق مداوم پاسخ می‌دهد، آیا جزئیات فنی بیشتری درباره پیکربندی‌های API و کنترل‌های امنیتی خود منتشر می‌کند، و چگونه یافته‌های آینده از افشاگری‌های bug bounty را اطلاع‌رسانی می‌کند. گزارش‌های محققان امنیتی، اپراتورهای صرافی، و محققان مستقل به شکل‌دهی ادراکات بازار درباره قابلیت اطمینان داده‌ها در پلتفرم‌های پیش‌بینی محبوب ادامه خواهند داد.

در گزارش این هفته، Cointelegraph از ارزیابی Hacken از چشم‌انداز امنیتی دوره استفاده کرد و تأکید کرد که سه‌ماهه اول ۲۰۲۶ حجم قابل توجهی از اکسپلویت‌ها را در فضای Web3 شاهد بود. تلاقی دسترسی‌پذیری عمومی داده و روایت‌های هک پرمخاطب روشن می‌کند چرا سرمایه‌گذاران و سازندگان توجه بیشتری به چگونگی مدیریت پلتفرم‌ها در افشای داده، امنیت API، و واکنش به حادثه در زمان واقعی می‌دهند.

منبع: پست‌های Polymarket در X، نظرات محققان امنیت سایبری، و داده‌های صنعتی مورد استناد Hacken و Cointelegraph.

Polymarket متعهد به روزنامه‌نگاری مستقل و شفاف است. این مقاله خبری به سیاست تحریریه Cointelegraph پایبند است و هدف آن ارائه اطلاعات دقیق و به‌موقع است. خوانندگان تشویق می‌شوند اطلاعات را به صورت مستقل تأیید کنند.

این مقاله در اصل با عنوان Polymarket ادعاهای هکر را رد می‌کند، داده‌ها همچنان عمومی هستند در Crypto Breaking News - منبع مورد اعتماد شما برای اخبار کریپتو، اخبار Bitcoin، و به‌روزرسانی‌های بلاکچین عمومی منتشر شده است.