Um hacker identificado como Xorcat afirma ter extraído 300 mil registros da Polymarket, uma plataforma descentralizada de mercados de previsão baseada em criptomoedas. Os dados supostamente roubados foram publicados em um fórum de crimes cibernéticos e no Telegram no dia 27 de abril de 2026. A Polymarket, no entanto, rejeita completamente as afirmações.
Xorcat afirma ter explorado uma série de falhas no código da plataforma. Uma delas envolveu endpoints de API não documentados, ou seja, portas de acesso ao sistema que a empresa nunca chegou a divulgar publicamente.
smart_display
Nossos vídeos em destaque
)
Outro método foi um bypass de paginação no sistema de negociação CLOB (Central Limit Order Book) da Polymarket. Basicamente, sites exibem pequenas listas de dados por vez para manter o desempenho estável. O hacker teria descoberto que, ao alterar um parâmetro no código para 999.999, conseguia forçar o sistema a entregar quase um milhão de registros de uma só vez.
Xorcat também menciona a exploração de uma má configuração de CORS, uma configuração de segurança que define quais origens externas podem se comunicar com o servidor. Isso porque, quando mal configurado, esse recurso permite que um invasor faça requisições ao sistema como se fosse um usuário legítimo já autenticado.
Vulnerabilidades conhecidas entram na lista de acusações
Além das falhas específicas da plataforma, o hacker diz ter usado duas vulnerabilidades públicas de alta gravidade. A primeira é a CVE-2025-62718, com pontuação CVSS 9.9, relacionada ao bypass da variável NO_PROXY no Axios, uma biblioteca de JavaScript usada para fazer requisições HTTP.
)
A segunda é a CVE-2024-51479, com pontuação CVSS 7.5, que afeta o middleware de autenticação do Next.js, o framework web por trás de inúmeros sites modernos. Essas duas falhas permitem que um invasor contorne telas de login ou acesse áreas internas do servidor que deveriam permanecer restritas.
O que os arquivos supostamente contêm
A versão comprimida do vazamento ocupa apenas 8,3 MB, mas o dump completo seria de 2,24 GB, com 750 MB de dados brutos. Entre os arquivos estariam um diretório de imagens de perfil e arquivos JSON como gamma_markets.json e um arquivo de 1,2 GB intitulado xorcat.deals polymarket clob_markets.json.
Os dados incluem 10 mil perfis de usuários com nomes, bios e endereços de carteiras digitais. Isso porque, ao cruzar essas informações, é possível reconstruir o histórico de negociações da vítima. Há ainda 9 mil perfis de seguidores, 4.111 comentários e mil registros de denúncias contendo 58 endereços ETH únicos.
)
Um detalhe técnico chamado admin_auth_addr levantou suspeitas sobre o acesso a áreas internas do sistema. Do lado dos mercados, o vazamento supostamente inclui mais de 250 mil mercados CLOB ativos, 292 eventos com dados internos, e cem configurações de recompensa com endereços USDC e taxas de pagamento diário.
Polymarket diz que os dados são públicos
No X, antigo Twitter, Polymarket negou que qualquer violação tenha ocorrido. A empresa explicou que, por operar em blockchain, grande parte dos seus dados já é pública e acessível por qualquer pessoa. A leitura da empresa é que Xorcat simplesmente copiou informações disponíveis abertamente e as reembalou para construir uma reputação de hacker experiente.
)
Scraping ou invasão real?
As evidências apontam mais para um caso de scraping do que para um roubo de dados no sentido técnico. No scraping, softwares automatizados copiam rapidamente informações que já estão disponíveis ao público, sem necessariamente explorar uma brecha real de segurança.
A credibilidade de Xorcat foi ainda mais abalada por uma contradição direta. O hacker afirmou ter divulgado os dados porque a Polymarket não contava com um programa de bug bounty. A empresa, porém, mantém um programa ativo desde 16 de abril de 2026 e já recebeu centenas de relatórios por meio dele.
A vítima mais provável nesse cenário não é a Polymarket em si, mas os usuários cujos nomes agora aparecem vinculados publicamente a suas carteiras de criptomoedas. Esse tipo de associação pode expor o histórico financeiro de qualquer pessoa que negociou na plataforma.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
