DUGAAN KEBOCORAN DATA POLYMARKET: 10 Juta+ Data, Enumerasi API & Klaim Salah Konfigurasi
Seorang threat actor mempublikasikan dugaan dump API penuh beserta paket eksploitasi yang menargetkan Polymarket, dengan klaim berhasil mengekstraksi jutaan data melalui endpoint tidak terdokumentasi, validasi pagination lemah, API tanpa autentikasi, serta beberapa rantai eksploitasi.
Pada saat publikasi, verifikasi independen terhadap klaim ini masih belum lengkap.
Ringkasan Insiden
| Field | Detail |
|---|---|
| Target | Polymarket (Gamma API + CLOB API) |
| Jenis Insiden | Dugaan Kebocoran Data / Enumerasi API |
| Tingkat Keparahan | KRITIS |
| Tanggal Klaim Penemuan | 2026-04-27 |
| Total Rekaman Diklaim | ~10 Juta+ |
| Ukuran Dump | ~1GB |
| Metode Akses | Diklaim tanpa autentikasi |
| Status Verifikasi | Menunggu konfirmasi |
Vektor Serangan yang Diklaim
Threat actor mengklaim eksploitasi dilakukan melalui:
- Endpoint API tidak terdokumentasi
- Bypass pagination
- Tidak adanya pembatasan rate limit
- Salah konfigurasi CORS
- Enumerasi profil publik
- Endpoint komentar yang terekspos
- Endpoint laporan yang terekspos
- Validasi kontrol akses yang lemah
Kerentanan yang Diklaim
1. Salah Konfigurasi CORS
Klaim:
Access-Control-Allow-Origin: *
Access-Control-Allow-Credentials: trueDampak potensial:
- Pencurian data lintas-origin
- Penyalahgunaan sesi
- Pembacaan API tanpa izin
Tingkat risiko:
KRITIS
2. Bypass Validasi Pagination
Klaim:
GET /markets?limit=999999Server diduga menerima parameter besar tanpa pembatasan.
Dampak potensial:
- Scraping massal
- Enumerasi data
- Beban berlebih pada sumber daya
3. Enumerasi Endpoint Komentar Tanpa Autentikasi
Endpoint yang diklaim:
GET /comments/{id}Kemungkinan data terekspos:
- Profil pengguna
- Alamat wallet
- Metadata pengguna
4. Endpoint Laporan Tanpa Autentikasi
Klaim:
GET /reportsKemungkinan data terekspos:
- Aktivitas pengguna
- Indikator internal
- Alamat ETH
5. Enumerasi Grafik Pengikut (Follower Graph)
Klaim:
GET /v1/data/followers/{address}Dampak potensial:
- Pemetaan relasi sosial
- Klasterisasi wallet
- Profiling pengguna
CVE yang Disebutkan
Threat actor merujuk pada:
| CVE | Deskripsi | CVSS Diklaim |
|---|---|---|
| CVE-2025-62718 | Axios NO_PROXY Bypass / SSRF | 9.9 |
| CVE-2024-51479 | Next.js Middleware Auth Bypass | 7.5 |
Belum terdapat konfirmasi independen bahwa CVE tersebut berkaitan langsung dengan dugaan insiden ini.
Data yang Diduga Terekspos
Threat actor mengklaim memperoleh akses ke:
- 10.000+ profil pengguna
- Alamat wallet
- Proxy wallet
- Bio publik
- Username
- Dataset komentar
- Metadata market
- ID internal
- Alamat ETH
- Konfigurasi reward
- Prediction market
- Relasi follower
- Metadata event
Contoh Bukti (Disamarkan)
Struktur profil yang ditemukan:
{
"name":"billl",
"pseudonym":"Keen-Format",
"proxyWallet":"0x11fa...1f58",
"baseAddress":"0x194c...cd94"
}Objek komentar:
{
"body":"i am netherlands number one fan",
"userAddress":"0x194c...",
"profile":{
"name":"billl",
"proxyWallet":"0x11fa..."
}
}Metadata market:
{
"market_id":"1284282",
"question":"Will T1 qualify for EWC 2026?",
"tokens":[...],
"rewards_config":[...]
}Rekonstruksi Bukti Terminal
Berikut rekonstruksi aktivitas enumerasi berdasarkan sampel yang dipublikasikan.
$ curl https://api.target/comments/4
HTTP/2 200 OK
{
"id":"4",
"body":"i am netherlands number one fan",
"profile":{
"name":"billl",
"proxyWallet":"0x11fa..."
}
}$ curl https://api.target/reports
HTTP/2 200 OK
Returned:
1000 records
58 alamat ETH
indikator admin ditemukan$ curl "https://api.target/markets?limit=999999"
HTTP/2 200 OK
records_returned=48536
rate_limit=false$ curl https://api.target/v1/data/followers/<wallet>
HTTP/2 200 OK
followers:
9000+
profiles:
enumerable=trueDampak Keamanan Potensial
Apabila tervalidasi, paparan data ini berpotensi memungkinkan:
- Pengungkapan identitas pengguna
- Klasterisasi wallet
- Intelijen relasi sosial
- Scraping skala besar
- Phishing tertarget
- Pengayaan data OSINT
- Pemetaan identitas Web3
Penilaian Risiko
| Kategori | Risiko |
|---|---|
| Privasi Pengguna | KRITIS |
| Paparan Wallet | TINGGI |
| Kerusakan Reputasi | TINGGI |
| Penyalahgunaan API | KRITIS |
| Enumerasi Data | KRITIS |
Pemetaan MITRE ATT&CK (Potensial)
| Teknik | ID |
|---|---|
| Gather Victim Identity Information | T1589 |
| Gather Victim Network Information | T1590 |
| Data from Information Repositories | T1213 |
| Exfiltration to Cloud Storage | T1567 |
Status Saat Ini
Belum terdapat bukti terkonfirmasi yang menunjukkan:
- Kompromi penuh terhadap infrastruktur Polymarket
- Kebocoran sistem internal
- Bypass autentikasi menuju akses istimewa
Materi yang tersedia saat ini lebih mengarah pada dugaan paparan API massal atau enumerasi data, dan masih memerlukan verifikasi lebih lanjut.
Rekomendasi Untuk Pengguna
- Tinjau ulang izin wallet yang terhubung
- Periksa identitas yang terkait dengan akun
- Hapus asosiasi wallet yang tidak diperlukan
- Waspadai upaya phishing
- Cabut persetujuan (approval) yang tidak aktif
Rekomendasi Untuk Operator Platform
Langkah yang disarankan:
- Audit seluruh endpoint API publik
- Terapkan autentikasi yang ketat
- Perbaiki kebijakan CORS
- Tambahkan rate limiting
- Validasi parameter pagination
- Kurangi paparan metadata berlebih
- Audit kontrol akses tingkat objek (object-level authorization)
Sumber: Postingan forum underground / klaim threat actor
Status Verifikasi: Masih berlangsung
Klasifikasi: Dugaan Paparan Data (Alleged Data Exposure)