Polymarket a démenti les allégations de fuite massive de données par un vendeur du dark web, qualifiant ces informations de « non-sens ». L'auteur de la menace, utilisant le pseudonyme « xorcat », affirmait avoir divulgué une base de données contenant plus de 300 000 enregistrements et un kit d'exploitation contenant environ 1 Go d'enregistrements (noms, pseudonymes et adresses de portefeuilles numériques).
L'attaquant, qui a affirmé avoir divulgué les données de Polymarket sur un forum de cybercriminalité réputé, a expliqué que les données avaient ététracvia des points de terminaison d'API non documentés, un contournement de la pagination et une erreur de configuration CORS dans les API Gamma et CLOB de Polymarket. Le pack comprenait également un script d'extraction automatique et des preuves de concept fonctionnelles pour plusieurs vulnérabilités CVE.
Plus précisément, les données extraites comprenaient 10 000 profils d’utilisateurs uniques avec des informations personnelles complètes (nom, pseudonyme, biographie, image de profil, portefeuille proxy et adresse de base), et plus de 4 111 commentaires avec des objets de profil joints.
L'attaquant a également fourni des scripts de preuve de concept et a affirmé que les données comprenaient 1 000 enregistrements de rapports contenant 58 adresses ETH uniques et un indicateur admin_auth_addr, ainsi que plus de 48 000 marchés gamma avec des métadonnées complètes, des identifiants de condition et des identifiants de jeton.
De plus, on a dénombré plus de 250 000 marchés CLOB actifs avec des adresses FPMM, et plus de 292 événements avec des adresses ETH de soumission/résolution et des noms d'utilisateur internes. La fuite comprenait également 100 configurations de récompenses avec des adresses detracUSDC et des taux journaliers, 9 000 profils d'abonnés (avec noms, pseudonymes et portefeuilles proxy), et des identifiants d'utilisateurs internes exposés dans les champs createdBy/updatedBy.
La faille de sécurité chez Polymarket constitue une menace pour la sécurité nationale
Polymarket est au cœur d'un important scandale d'intégrité qui constitue une atteinte d'un genre nouveau : celle à la sécurité nationale. Le ministère de la Justice et la CFTC utilisent cette récente fuite comme un exemple flagrant des marchés de prédiction , arguant qu'ils peuvent inciter à la divulgation de renseignements classifiés à des fins lucratives. Cela expose les investisseurs, y compris des personnalités politiques de premier plan, à des attaques ciblées par hameçonnage ou à du harcèlement.
Ces allégations s'inscrivent dans une série de failles de cybersécurité avérées qui ont ébranlé la confiance des utilisateurs au cours des six derniers mois. Lors de la manipulation de l'API/des bots en février 2026, les auteurs ont exploité une faille de conception du système de commandes de Polymarket et créé des « nonces » pour annuler des transactions sur la blockchain tout en maintenant la validité des enregistrements hors chaîne. Ceci a entraîné des pertes considérables pour les bots, basées sur des rapports d'API erronés.
Polymarket a également confirmé une autre faille de sécurité liée à l'authentification par un tiers en décembre 2025. Cette faille était due à une vulnérabilité d'un outil de connexion tiers (probablement Magic Labs), permettant aux attaquants de vider les comptes, même ceux pour lesquels l'authentification à deux facteurs était activée. Une autre attaque de phishing, survenue en novembre 2025 dans la section commentaires de Polymarket, a entraîné des pertes de plus de 500 000 $ pour les utilisateurs.
Les autorités de régulation optent pour une interdiction active à mesure que le volume du marché des prédictions augmente
Face à la croissance des marchés de prédiction, les autorités de régulation passent d'une simple observation à une interdiction active. En avril 2026, le gouvernement brésilien a bloqué 27 plateformes (dont Kalshi et Polymarket), invoquant des préoccupations liées à l'endettement des ménages et à la protection des consommateurs.
Les autorités roumaines et portugaises ont également bloqué récemment certainstracpolitiques afin d'empêcher les paris spéculatifs sur les élections.
Parallèlement, Polymarket a adopté des règles internes plus strictes à compter de mars 2026. Ces règles interdisent explicitement les transactions fondées sur des informations volées ou sur une connaissance privilégiée d'événements géopolitiques. Polymarket a également conclu un accord de services réglementaires avec la National Futures Association (NFA) afin de mettre en place une surveillance en temps réel. Cette initiative marque une évolution vers une conformité financière plus généralisée.
Les autorités de régulation ont également examiné de près des transactions très médiatisées, comme le pari de 32 000 $ sur la capture de Nicolás Maduro, qui a généré un profit de 436 000 $ juste avant l’annonce officielle en janvier 2026. Depuis, la Maison Blanche et diverses agences ont mis en garde contre les transactions basées sur des informations non publiques relatives à des conflits géopolitiques, comme la guerre entre les États-Unis et l’Iran.
Par ailleurs, Gautam Chhugani, analyste chez Bernstein, prévoit qu'une réglementation plus claire au niveau fédéral stimulera la croissance des marchés de prédiction. Il estime que le volume total de ces marchés atteindra 240 milliards de dollars en 2026 (+370 % par rapport à l'année dernière).
Chhugani prévoit également que le volume des transactions sur le marché des prédictions atteindra 1 000 milliards de dollars par an d’ici le début de la prochaine décennie, avec un taux de croissance annuel composé d’environ 80 % entre 2025 et 2030. La composition destracnégociés est également susceptible d’évoluer.
