폴리마켓(Polymarket)은 xorcat로 알려진 해커가 30만 개의 기록을 사이버 범죄 포럼에 게시한 것과 관련해 데이터 유출 주장에 대해 반박했습니다. 이 분산형 예측시장 플랫폼은 해당 정보가 자사의 API 및 온체인 기록을 통해 공개적으로 제공되고 있다고 밝혔습니다.
다크웹 인포머(Dark Web Informer) 모니터링 계정에 의해 드러난 이 행위자는 사용자 프로필, 댓글, 시장 데이터, 그리고 익스플로잇 코드를 추출했다고 주장했습니다. 폴리마켓은 이에 대해 해당 공개가 취약점이 아니라 기능이라고 밝혔습니다.
폴리마켓 사용자 데이터 유출?
해당 포럼 게시물에는 약 1만 달러 사용자 프로필, 4,111개의 댓글, 폴리마켓 감마(API)에서 가져온 48,536개 마켓, 그리고 클롭(CLOB) API에서 얻은 25만 달러 이상의 활성 마켓을 포함한 750MB 분량의 패키지가 광고되었습니다.
이 행위자는 팔로워 목록, 보상 설정, 내부 사용자 식별자도 포함시켰습니다.
원시 데이터 외에도, 패키지에는 증명용 익스플로잇도 포함된 것으로 알려졌습니다. 이에는 CVE-2025-62718로 추적되는 아시오스(Axios) 프록시 우회, 클롭(CLOB) API의 CORS 설정 오류, 넥스트닷제이에스(Next.js) 미들웨어 인증 우회, 그리고 판매자가 무제한 쿼리가 허용된다고 주장한 페이지네이션 결함이 포함되어 있습니다.
이 게시물은 폴리마켓 전반에서 접근제어가 취약하다는 증거로 해당 데이터를 나타냈으며, 플랫폼이 버그 바운티 프로그램이 없고 사전 알림도 없었다고 주장했습니다.
폴리마켓의 대응
폴리마켓은 몇 시간 만에 즉각 반박했습니다. X(링크)에서 성명을 내고 해당 게시글에서 지적된 모든 데이터가 온체인 상에서 감사 가능하거나 공식적으로 문서화된 엔드포인트를 통해 접근할 수 있다고 밝혔습니다.
“온체인에 있다는 것은 모든 데이터가 공개적으로 감사된다는 점에서 아름답습니다. 이것은 기능이지 버그가 아닙니다. 데이터가 ‘유출’된 것이 아니라, 당사 공개 엔드포인트와 온체인 데이터로 접근할 수 있습니다.”
폴리마켓 팀은 연구원이 해당 정보를 얻기 위해 포럼 판매자에게 비용을 지불할 필요가 없다고 덧붙였습니다. 이 정보는 이미 프로토콜에서 무료로 공개되어 있습니다. 팀은 사용자들에게 자사의 API 문서를 참고하라고 안내했습니다.
버그 바운티 한계
폴리마켓은 버그 바운티가 없다는 주장도 반박했습니다. 폴리마켓은 칸티나(Cantina)와 함께 진행 중인 500만 달러 규모의 프로그램을 강조하면서, 공개 API 엔드포인트에 대한 단순 크롤링은 보상 대상이 아니라고 명확하게 밝혔습니다.
보상 대상이 되는 제출사항은 자금, 계약, 사용자 개인정보에 악영향을 미치는 검증된 취약점에 한정합니다.
이 논란은 예측 시장과 기타 온체인 플랫폼에서 반복적으로 나타나는 긴장과 유사합니다. 투명한 원장은 공개와 발견 사이의 경계를 흐리게 만듭니다.
폴리마켓의 현재 입장은 시장 활동 노출에 큰 위험이 없다고 보는 것으로 해석됩니다. 이 대응이 플랫폼 관련 향후 이슈 보도 방식에도 영향을 미칠 수 있습니다.
