«Polymarket» (decentralized bashorat bozori) xorcat deb tanilgan kibermakon tahdid aktori 300 000 ta yozuvni kiberjinoyatchilik forumida joylashtirgandan so‘ng, ma’lumotlar tarqalganligi haqidagi da’volarni inkor etdi. «Polymarket» ijtimoiy tarmog‘ining izohlashicha, bu ma’lumotlar uning API (ilovalar dasturiy interfeysi) va blokcheyn tarixida hammaga ochiq tarzda mavjud.
Bu hodisani «Dark Web Informer» monitoring hisobiga asoslangan holda aniqlashdi. Xorcat aktori foydalanuvchi profillari, izohlar, bozorlar haqidagi ma’lumotlar va ekspluatatsiya kodini ko‘chirganini da’vo qilgan. «Polymarket» ijtimoiy tarmog‘i bunga javoban, ko‘rsatilgan ma’lumot tarqalishi – xatolik emas, tizimning o‘ziga xos imkoniyati ekanini ta’kidladi.
Polymarket foydalanuvchilar ma’lumotlari tarqalganmi?
Forumda joylangan postda tahdid aktori 750 MB hajmdagi to‘plamni reklama qildi. Bozordan taxminan 10 000 ta foydalanuvchi profilini, 4 111 ta izohni, «Polymarket» ijtimoiy tarmog‘ining Gamma API’dan 48 536 ta bozor ma’lumotini va CLOB API’dan 250 000 dan ortiq faol bozorlarni o‘z ichiga oladi.
Shuningdek, aktor obunachilar ro‘yxatini, mukofot sozlamalari va ichki foydalanuvchi identifikatorlarini ham qo‘shgan.
Shunchaki xom ma’lumotlardan tashqari, to‘plamda ba’zi «konseptdan dalolat beruvchi» ekspluatatsiya kodlari ham ilova qilingan. Ular orasida Axios proksi orqali cheklovlardan chiqib o‘tish (CVE-2025-62718 raqamli xatolik), CLOB API’da CORS (xavfsiz resurs almashinuvi) noto‘g‘ri sozlamalari, Next.js oraliq dastur orqali tekshirish chetlab o‘tish va cheksiz katta so‘rovlar qabul qiladigan sahifalashdagi xato mavjudligi haqida gap boradi.
Forum posti ushbu axborot tarqalishini «Polymarket» ijtimoiy tarmog‘ida ruxsatsiz foydalanish va nazorat sustligini ko‘rsatuvchi dalil sifatida ko‘rsatgan. Bundan tashqari, platformada bug bounty (xatolar uchun mukofot) dasturi yo‘qligi va nashr oldidan ogohlantirilmaganini bildirgan.
«Polymarket» ijtimoiy tarmog‘ining munosabati
«Polymarket» ijtimoiy tarmog‘i qisqa vaqt ichida javob berdi. X ijtimoiy tarmog‘idagi bayonotida platforma ushbu xabarda aytilgan barcha ma’lumotlarni blokcheyn orqali yoki o‘z API hujjatlari orqali tekshirish mumkinligini ma’lum qildi.
«Blokcheynda ishlashning go‘zalligi shundaki, barcha ma’lumotlarimiz ommaga ochiq va auditdan o‘tadi… bu – imkoniyat, xato emas. Hech qanday ma’lumot “tarqalgan” emas — u bizning ochiq API nuqtalarimiz va blokcheyn orqali mavjud».
Jamoa, tadqiqotchilar bu ma’lumotni olish uchun forumda sotuvchiga pul to‘lashi shart emasligini qo‘shimcha qildi. Chunki ushbu ma’lumot allaqachon protokol orqali bepul e’lon qilingan. Foydalanuvchilar API hujjatlari bilan tanishishlari mumkin.
Xatolar uchun mukofot cheklovlari
«Polymarket» ijtimoiy tarmog‘i xatolar uchun mukofot dasturi yo‘qligi haqidagi da’volarni ham inkor etdi. Platforma «Cantina» tashkiloti bilan birga tashkil etilgan 5 million dollarlik maxsus dastur borligini ajratib ko‘rsatdi. Lekin, ochiq API’dan ommaviy ma’lumot yig‘ish uchun mukofot berilmasligini aniq tushuntirdi.
Mukofot olish uchun murojaatlar to‘liq tekshirilgan zaiflik, ya’ni mablag‘lar, aqlli shartnomalar yoki shaxsiy foydalanuvchi ma’lumotlariga ta’sir qiladigan real xatolik bo‘lishi kerak.
Bu bahs «bashorat bozorlari» va boshqa blokcheyn asosidagi platformalarda vaqti-vaqti bilan uchrab turadigan kelishmovchilikni yana bir bor ko‘rsatadi. Shaffof blokcheyn kitoblarida ba’zida ma’lumot ochiqlanishi va yangi xabar topilishi o‘rtasidagi chiziq aniq bo‘lavermaydi.
«Polymarket» ijtimoiy tarmog‘ining pozitsiyasi, faoliyat sir emasligi tufayli xavf kam deb hisoblashini ko‘rsatadi. Ushbu yondashuv platformaga oid kelgusidagi holatlar yoritilishiga ham ta’sir qilishi mumkin.
