30万件のユーザー情報がパッケージ化されて外部に漏洩——Polymarketは「公開データ」という主張に囚われている
TechFlow厳選深潮セレクト
30万件のユーザー情報がパッケージ化されて外部に漏洩——Polymarketは「公開データ」という主張に囚われている
プラットフォーム側は、すべてのコンテンツが公開データであり、機密情報が漏洩したことは一切ないと主張しています。
Web3業界の深掘り報道に専念し潮流を洞察著者:クロード、TechFlow
TechFlow解説:ハッカーが「xorcat」という仮名で4月27日、ネット犯罪フォーラムに圧縮ファイルをアップロードした。その中にはPolymarketから抽出された30万件を超えるレコード、5つの動作確認済みの脆弱性悪用スクリプト(PoC)、および2件のCVEレベルの脆弱性が含まれており、元のデータサイズは約750MBに及ぶ。
ブロックチェーン脅威インテリジェンスアカウント「Dark Web Informer」が翌日X(旧Twitter)上でこの事象を公表した。Polymarketは当日、関係するデータは「既に公開API経由でアクセス可能なものである」として、これを「脆弱性の漏洩」ではなく「機能」と位置付けた。ただし、公式声明では、ハッカーが指摘したAPIの誤設定や悪用手法の詳細については、直接的な対応がなされなかった。
4月27日、仮名「xorcat」を名乗る攻撃者が、あるネット犯罪フォーラムに8.3MBのJSONファイルを含む圧縮パッケージをアップロードした。解凍後は約750MBに達し、Polymarketから抽出された30万件を超えるレコード、5つの動作確認済み脆弱性悪用スクリプト(PoC)、および技術報告書が含まれていた。
Polymarketは当日、即座に反応した。しかし、これは通常の危機管理における謝罪や調査表明ではなく、むしろ挑発的ともいえる反論であった。同プラットフォームの公式Xアカウントは、「すべての情報は公開エンドポイントおよびオンチェーンデータ経由でアクセス可能である」と皮肉交じりに投稿し、「これは機能であり、脆弱性ではない」と断定した。
こうして本件は、いわば「ローゼンタール」状態へと発展した。ハッカー側は、これは事前通告なしに公開されたデータ攻撃であり、具体的には複数のAPI誤設定を突いたものだと主張している。一方、プラットフォーム側は、すべての内容が既に公開されているデータであり、いかなる機密情報も漏洩していないと主張している。
攻撃経路:「鍵のかかっていないドアが連なる廊下」
xorcatがフォーラム投稿で説明したところによると、この攻撃は単一の高度な脆弱性に依存したものではなく、むしろ「鍵のかかっていないドアが連なる廊下」を通り抜けるようなものだった。サイバーセキュリティメディア『The CyberSec Guru』による再構築によれば、攻撃は主に以下の3種類の問題を悪用していた:非公開のAPIエンドポイント、CLOB(中央限価注文簿)取引APIにおけるページネーション回避、およびCORS(クロスオリジン・リソース・シェアリング)の誤設定。
公開された報告書では、Polymarketの複数のエンドポイントが実質的に認証を必要としない状態にあると指摘されている。例えば、コメントエンドポイントではユーザーのプロフィールを総当たりで列挙可能;報告エンドポイントではユーザー活動データが露呈;フォロワーエンドポイントでは、ログイン不要で任意のウォレットアドレスの完全なソーシャル関係図を把握できるようになっていた。
30万件以上のレコードには何が含まれていたか
xorcatのフォーラム投稿および『The CyberSec Guru』『The Crypto Times』による再構築によると、流出パッケージはおおむね「ユーザー」「マーケット」「攻撃ツール」の3カテゴリに分類される(以下、データカード参照)。
ユーザー関連の1万件の独立したユーザープロフィールには、氏名、ニックネーム、自己紹介文、アバター画像、代理ウォレットアドレスおよび基盤となるウォレットアドレスが含まれている。9000件のフォロワー情報からはソーシャル関係図が再構成可能である。4111件のコメントデータにはそれぞれ付随するユーザープロフィールが添付されている。1000件の報告レコードには、58件の独立したイーサリアムアドレスが記載されている。「createdBy」および「updatedBy」などの内部ユーザーIDフィールドも散在しており、これらはプラットフォームのアカウント構造の一部を間接的に明らかにしている。
マーケット関連では、Polymarket Gammaシステム由来の48,536件のマーケット(完全なメタデータ、condition ID、token IDを含む)、25万件を超えるアクティブなCLOBマーケット(FPMMコントラクトアドレス付き)、292件のイベント(提出者および裁定者の内部ユーザー名とウォレットアドレス付き)、および100件の報酬設定(USDCコントラクトアドレスおよび日次支払率付き)が含まれている。
ウォレットアドレス自体はオンチェーン上で匿名であるが、それが氏名・自己紹介文・アバター画像とともに提示された瞬間に、その匿名性は崩壊する。これが、Polymarketの今回の対応において一切触れられていない核心的な論点である:
「データが公開されているか否か」と、「それらが集約された結果、ユーザーの身元保護が依然として担保されるか否か」は、全く異なる問題である。
「これは機能であり、脆弱性ではない」:Polymarketの反論
Polymarketは4月28日、X上で1件の投稿のみで対応した。同プラットフォームは「😂」という絵文字で始まり、「攻撃を受けた」という表現そのものを疑義を呈したうえで、次のように逐一反論した:オンチェーンデータはそもそも誰でも公開検証可能であり、「漏洩」など存在せず、同様の情報は公開API経由で無料で取得可能であり、有料購入する必要はない——そして結論として「これは機能であり、脆弱性ではない」と断じた。
『The Crypto Times』の報道によると、Polymarketのこの反論は、ハッカーが提起した具体的な技術的主張——すなわちAPI誤設定、CORS誤設定、非公開エンドポイント、レート制限の欠如など——に対して、一切の直接的な対応を行っていない。プラットフォームは「データが公開されているか」という、最も容易に反論可能な論点に集中して攻勢をかけたが、より本質的なセキュリティ課題である「攻撃者が予期されていない経路を通じて大量に抽出・パッケージ化した」ことについては沈黙を守っている。
xorcat側は、事前にPolymarketに通報しなかった理由として、同プラットフォームに脆弱性報奨制度(バグバウンティプログラム)が存在しなかったことを挙げている。この点については第三者による確認はまだ得られていないが、事実であれば、Polymarketの自律的なセキュリティガバナンスにおける一定の空白を示唆している:正式な責任ある開示(responsible disclosure)チャネルが整備されておらず、攻撃者は内部通報よりもむしろ公開披露を優先する傾向にある。
これはPolymarketにとって初めてのセキュリティ問題ではない
時系列に戻ると、2024年8~9月、GoogleアカウントでPolymarketにログインしていた複数のユーザーが、USDCの盗難被害を報告した。攻撃者はMagic Labs SDK内のproxy関数を悪用し、ユーザー残高をフィッシング用アドレスへ転送していた。Polymarketのカスタマーサポートは9月末までに、少なくとも5件の同様の攻撃を確認した。
2025年11月、ハッカーがPolymarketのコメント欄にフィッシングリンクを投稿し、クリックされた際にユーザー端末に悪意あるスクリプトを注入する攻撃が行われ、関連詐欺活動による損失は累計50万ドル以上に上った。
2025年12月、再び多数のアカウントが不正にアクセスされた。PolymarketはDiscord上でこの事象を確認し、「サードパーティの認証サービスの脆弱性」が原因であると説明した。SNS上の議論では、Magic Labsメールアドレス経由でログインしたユーザー層が主に標的であったことが広く指摘されたが、プラットフォームは当該サービスプロバイダーを公に名指しすることもなく、影響を受けたユーザー数および損害規模についても公表しなかった。
これまでの各事象に対し、Polymarketはいずれも一定程度の対応を示してきた:サードパーティサービスへの帰責、問題の認知および影響を受けたユーザーへの連絡約束などである。今回xorcatが引き起こした事件は、初めて「そもそもすべて公開データである」という主張を唯一の防衛線としているケースである。歴史的経緯から見れば、今回の対応は、従来型のセキュリティインシデント対応というよりは、むしろ「事件の性質そのもの」をめぐる争いに近いものである。
本稿執筆時点において、Polymarketはxorcatが公表した具体的な技術的脆弱性について、修正措置を講じた旨の説明は行っておらず、フォーラム上でのPoCスクリプトは、誰でもダウンロード可能な状態のままである。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
