탈중앙화 예측 플랫폼인 폴리마켓(Polymarket)이 다크 웹 인포머(Dark Web Informer) 계정(X 플랫폼)에서 해킹당해 30만 건 이상의 데이터가 사이버 범죄 포럼에 유출됐다는 주장을 제기하면서 논란의 중심에 섰습니다. 폴리마켓 측은 관련 데이터는 모두 블록체인 상에 공개적으로 존재하는 정보라며 해당 주장을 즉각 부인했습니다.
다크웹 정보원의 주장
다크 웹 인포머(Dark Web Informer)가 공개한 정보에 따르면, 공격자들은 2026년 4월 27일에 문서화되지 않은 API 엔드포인트 악용, 페이지네이션 우회, CORS(교차 출처 리소스 공유) 설정 오류 악용 등 여러 기술적 경로를 통해 폴리마켓(Polymarket)을 침해했다고 주장했습니다.
유출된 것으로 알려진 데이터에는 약 10,000건의 개인 식별 정보(PII), 41,000건의 댓글, 485,000건의 시장 메타데이터, 250,000개의 활성 CLOB 시장, 그리고 이벤트 제안자와 정산자의 지갑 주소 292개가 포함됩니다.
더욱 우려스러운 점은 공격자가 CVSS 점수 9.9로 매우 높은 심각도를 보이는 CVE-2025-62718을 비롯해 CVSS 7.5의 CVE-2024-51479 및 CORS 구성 결함 등 여러 취약점에 대한 개념적 공격 코드를 공개했다는 것입니다. 공격자는 또한 Polymarket에 버그 바운티 프로그램이 없으며 이러한 취약점에 대해 사전에 통보받지 못했다고 지적했습니다.
폴리마켓: "이것은 결함이 아니라 기능입니다."
X에서 신속하게 대응한 폴리마켓은 데이터 유출 의혹을 전면 부인했습니다. 플랫폼 측은 모든 온체인 데이터는 공개적으로 검증 가능하며, 이는 탈중앙화 블록체인의 핵심 특징이지 보안 취약점이 아니라고 주장했습니다. 데이터는 공개 API를 통해 무료로 접근할 수 있으며, 온체인 데이터 또한 수수료 없이 이용 가능하다고 덧붙였습니다.
'공개 데이터'와 '실제 데이터 유출' 사이의 경계가 모호해지고 있습니다.
이번 사건은 디파이(DeFi) 생태계 내에서 중요한 질문을 제기합니다. 온체인 데이터에 접근하고 이를 수집하는 행위가 언제 악용에 해당하는가? 폴리마켓은 블록체인의 강점으로 투명성을 강조하지만, 유출된 것으로 추정되는 데이터 목록에 1만 건에 달하는 개인 식별 사용자 정보가 포함되어 있다는 사실은 우려스럽습니다. 개인 식별 정보는 일반적으로 온체인에 저장되지 않으며, 자유롭게 접근 가능해서는 안 되기 때문입니다.
