Polymarket ha respinto le affermazioni relative a una massiccia violazione di dati da parte di un venditore del dark web, definendo le notizie "assurde". L'autore della minaccia, che utilizzava lo pseudonimo "xorcat", ha affermato di aver diffuso un database contenente oltre 300.000 record e un Exploit Kit, con circa 1 GB di dati (nomi, pseudonimi e indirizzi di portafoglio).
L'attaccante, che ha affermato di aver divulgato i dati di Polymarket su un popolare forum di cybercrimine, ha spiegato che i dati sono statitractramite endpoint API non documentati, un bypass della paginazione e una configurazione errata del CORS nelle API Gamma e CLOB di Polymarket. Il pacchetto includeva anche uno script di auto-dump e prove di concetto funzionanti per diverse CVE.
Nello specifico, i dati estratti includevano 10.000 profili utente unici con informazioni personali complete (nome, pseudonimo, biografia, immagine del profilo, portafoglio proxy e indirizzo di base) e oltre 4.111 commenti con oggetti del profilo allegati.
L'attaccante ha inoltre fornito script di prova di concetto e ha affermato che i dati includevano 1.000 record di report contenenti 58 indirizzi ETH univoci e un indicatore admin_auth_addr, nonché oltre 48.000 mercati gamma con metadati completi, ID di condizione e ID di token.
Inoltre, sono stati rilevati oltre 250.000 mercati CLOB attivi con indirizzi FPMM e oltre 292 eventi con indirizzi ETH di mittenti/risolutori e nomi utente interni. La fuga di dati includeva anche 100 configurazioni di ricompensa con indirizzitracUSDC e tassi giornalieri, 9.000 profili di follower (con nomi, pseudonimi e portafogli proxy) e ID utente interni esposti nei campi createdBy/updatedBy.
La violazione dei dati di Polymarket rappresenta una minaccia per la sicurezza nazionale
Polymarket è al centro di un grave scandalo di integrità che comporta una violazione di natura diversa: quella relativa alla sicurezza nazionale. Il Dipartimento di Giustizia e la CFTC stanno utilizzando la recente violazione come esempio principale del perché i mercati di previsione necessitino di una supervisione più rigorosa, sostenendo che possono incentivare la divulgazione di informazioni classificate a scopo di lucro. Ciò espone i trader, comprese figure politiche di alto profilo, a tentativi di phishing mirati o a molestie.
Queste affermazioni si inseriscono in una serie di falle di sicurezza informatica accertate che hanno minato la fiducia degli utenti negli ultimi sei mesi. Gli aggressori coinvolti nella manipolazione delle API/bot del febbraio 2026 hanno sfruttato una falla di progettazione nel sistema di ordini di Polymarket e hanno creato dei "nonce" per annullare le transazioni on-chain mantenendo validi i record off-chain. Ciò ha causato ingenti perdite ai bot sulla base di report API errati.
Polymarket ha inoltre confermato un'altra violazione dell'autenticazione di terze parti avvenuta nel dicembre 2025. La violazione era collegata a una vulnerabilità in uno strumento di accesso di terze parti (a quanto pare Magic Labs), che consentiva agli aggressori di sottrarre fondi anche da account con autenticazione a due fattori (2FA) abilitata. Un altro attacco di phishing, avvenuto nel novembre 2025 nella sezione commenti di Polymarket, ha causato perdite per oltre 500.000 dollari agli utenti.
Le autorità di regolamentazione passano al divieto attivo man mano che il volume del mercato delle previsioni aumenta
Le autorità di regolamentazione stanno passando da un approccio di osservazione passiva a uno di divieto attivo, a fronte della crescita dei volumi dei mercati delle previsioni. Nell'aprile del 2026, il governo brasiliano ha bloccato 27 piattaforme (tra cui Kalshi e Polymarket), citando preoccupazioni relative all'indebitamento delle famiglie e alla tutela dei consumatori.
Recentemente, anche le autorità rumene e portoghesi hanno bloccato specificitracpolitici per impedire scommesse speculative sulle elezioni.
Nel frattempo, a partire da marzo 2026, Polymarket ha adottato norme interne più rigorose. Tali norme vietano esplicitamente le operazioni basate su informazioni rubate o su conoscenze "insider" relative a eventi geopolitici. Polymarket ha inoltre stipulato un accordo sui servizi di regolamentazione con la National Futures Association (NFA) per implementare la sorveglianza in tempo reale. Questa mossa ha segnato un'evoluzione verso la conformità alle normative finanziarie più diffuse.
Le autorità di regolamentazione hanno anche esaminato attentamente operazioni di alto profilo, come la scommessa di 32.000 dollari sulla cattura di Nicolás Maduro, che ha fruttato un profitto di 436.000 dollari poco prima che la notizia ufficiale venisse diffusa nel gennaio 2026. Da allora, la Casa Bianca e diverse agenzie hanno messo in guardia contro le operazioni di trading basate su informazioni non pubbliche relative a conflitti geopolitici, come la guerra tra Stati Uniti e Iran.
D'altro canto, l'analista di Bernstein Gautam Chhugani prevede che una maggiore chiarezza normativa a livello federale stimolerà la crescita dei mercati delle previsioni. Stima che il volume totale del mercato delle previsioni raggiungerà i 240 miliardi di dollari nel 2026 (+370% rispetto all'anno precedente).
Chhugani prevede inoltre che il volume degli scambi nel mercato delle previsioni raggiungerà 1.000 miliardi di dollari all'anno entro l'inizio del prossimo decennio, con un tasso di crescita annuo composto di circa l'80% tra il 2025 e il 2030. Anche la composizione deitracnegoziati è destinata a cambiare.
