Polymarket rejette les allégations de « non-sens » concernant une violation de données par un vendeur du dark web

Polymarket a rejeté les allégations d’une violation massive de données par un vendeur du dark web, qualifiant ces rapports de « nonsense ». L’acteur de la menace utilisant le pseudonyme « xorcat » a affirmé avoir divulgué une base de données affectant plus de 300 000 enregistrements et un Kit d’Exploitation, contenant environ 1 Go d’enregistrements (noms, pseudonymes et adresses de portefeuille).

L’attaquant, qui a affirmé avoir leaké les données de Polymarket sur un forum populaire de cybercriminalité, a expliqué que les données ont été extraites via des points d’API non documentés, une contournement de pagination, et une mauvaise configuration CORS dans les API Gamma et CLOB de Polymarket. Le pack comprenait également un script d’auto-dump et des POC fonctionnels pour plusieurs CVE.

Plus précisément, les données extraites comprenaient 10 000 profils utilisateur uniques avec des informations personnelles complètes (nom, pseudonyme, bio, image de profil, portefeuille proxy, et adresse de base), ainsi que plus de 4 111 commentaires avec des objets de profil attachés.

L’attaquant a également fourni des scripts de preuve de concept et a allégué que les données comprenaient 1 000 enregistrements de rapports contenant 58 adresses ETH uniques et un indicateur admin_auth_addr, ainsi que plus de 48 000 marchés gamma avec métadonnées complètes, identifiants de conditions et identifiants de jetons.

De plus, il y avait plus de 250 000 marchés CLOB actifs avec des adresses FPMM, et plus de 292 événements avec des adresses ETH de soumission/resolution et des noms d’utilisateur internes. La fuite comprenait également 100 configurations de récompenses avec des adresses de contrats USDC et des taux quotidiens, 9 000 profils de followers (avec noms, pseudonymes et portefeuilles proxy), ainsi que des identifiants utilisateur internes exposés dans les champs createdBy/updatedBy.

La violation de Polymarket pose une menace à la sécurité nationale

Polymarket est au centre d’un scandale majeur d’intégrité qui pose une forme différente de violation – celle du statut de sécurité nationale. Le DOJ et la CFTC utilisent la récente violation comme exemple principal de la nécessité d’un contrôle plus strict des marchés de prédiction, arguant qu’ils peuvent inciter à la fuite d’informations classifiées à des fins lucratives. Cela expose les traders – y compris des figures politiques de haut profil – à des tentatives de phishing ciblées ou du harcèlement.

Ces allégations suivent un schéma d’échecs de cybersécurité confirmés qui ont ébranlé la confiance des utilisateurs au cours des six derniers mois. Les attaquants lors de la manipulation de l’API/Bot en février 2026 ont exploité une faille de conception dans le système d’ordre de Polymarket, et ont conçu des « nonces » pour annuler des transactions en chaîne tout en conservant des enregistrements hors chaîne valides. Cela a causé d’énormes pertes pour des bots basées sur des rapports API erronés.

Polymarket a également confirmé une autre violation d’authentification par un tiers en décembre 2025. La violation était liée à une vulnérabilité dans un outil de connexion tiers (apparemment Magic Labs), qui a permis aux attaquants de drainer des fonds même à partir de comptes avec 2FA activé. Une autre attaque de phishing en novembre 2025 sur la section commentaires de Polymarket a entraîné des pertes de plus de 500 000 dollars pour les utilisateurs.

Les régulateurs passent à une interdiction active à mesure que le volume des marchés de prédiction augmente

Les régulateurs passent d’une observation passive à une interdiction active alors que le volume des marchés de prédiction croît. Le gouvernement brésilien a bloqué 27 plateformes en avril 2026 (dont Kalshi et Polymarket), invoquant des préoccupations concernant la dette des ménages et la protection des consommateurs.

Les autorités en Roumanie et au Portugal ont également bloqué récemment certains contrats politiques pour empêcher les paris spéculatifs sur les élections.

Par ailleurs, Polymarket a adopté des règles internes plus strictes à partir de mars 2026. Ces règles interdisent explicitement les transactions basées sur des informations volées ou des connaissances « insider » sur des événements géopolitiques. Polymarket a également conclu un accord de services réglementaires avec la National Futures Association (NFA) pour mettre en œuvre une surveillance en temps réel. Ce mouvement a marqué un tournant vers la conformité financière mainstream.

Les régulateurs ont également examiné de près des transactions de haut profil, comme le pari de 32 000 dollars sur la capture de Nicolás Maduro, qui a généré un profit de 436 000 dollars juste avant la publication officielle des nouvelles en janvier 2026. La Maison Blanche et diverses agences ont depuis mis en garde contre le trading basé sur des informations non publiques liées à des conflits géopolitiques, comme la guerre entre les États-Unis et l’Iran.

D’un autre côté, l’analyste de Bernstein Gautam Chhugani prévoit une clarté réglementaire accrue au niveau fédéral pour stimuler la croissance des marchés de prédiction. Il estime que le volume total des marchés de prédiction atteindra $240 milliard en 2026 (+370 % par rapport à l’année dernière).

Chhugani prévoit également que le volume de trading des marchés de prédiction atteindra $1 trillion d’ici le début de la prochaine décennie avec un taux de croissance annuel composé d’environ 80 % entre 2025 et 2030. La composition des contrats échangés devrait également évoluer.

Si vous lisez ceci, vous avez déjà une longueur d’avance. Restez-y avec notre newsletter.