2026年4月、分散型予測市場の最大手であるPolymarket (ポリマーケット) が、大規模なデータ漏洩の疑惑にさらされています。

ダークウェブ上でハッカーが30万人分以上のユーザーデータを販売していると主張したのに対し、Polymarket側はこれを真っ向から否定。

流出したとされる情報は、実際には誰でも無料でアクセス可能な「公開データ」を収集したに過ぎないと主張しています。

この騒動は、Web3におけるデータプライバシーと透明性の境界線を改めて浮き彫りにしています。

目次 [ close ]
  1. ダークウェブで販売される「30万人の個人情報」の実態
  2. 「仕様であってバグではない」Polymarket側の猛反論
  3. 2026年におけるWeb3セキュリティの現状と「偽装リーク」
    1. テクニカルな論点:APIの挙動とデータプライバシー
  4. バグバウンティプログラムを巡る言論の相違
  5. まとめ

ダークウェブで販売される「30万人の個人情報」の実態

サイバーセキュリティ企業のVecert Analyzerおよび複数のオンチェーンアナリストは、ダークウェブ上のフォーラム「DarkForums」において、xorcatと名乗るハッカーがPolymarketから盗み出したとされるデータを販売しているのを発見しました。

ハッカーの主張によると、流出したデータには以下の内容が含まれているとされています。

  • 合計300,000件以上のユーザーレコード
  • 10,000件のユニークなユーザープロファイル (氏名、プロフィール画像を含む)
  • プロキシウォレットアドレスおよびベースアドレス
  • APIの誤設定 (CORS設定ミス) を利用したデータ抽出

ハッカーは、Polymarketがバグバウンティ (脆弱性報奨金) プログラムを用意していなかったため、データを公開・販売するに至ったと述べています。

さらに、他の予測市場プラットフォームからもデータを奪取しており、数日以内に順次公開するとの声明を出しています。

「仕様であってバグではない」Polymarket側の猛反論

これに対し、Polymarketの公式開発チームはSNSを通じて「完全なる無意味な主張」であると即座に反論しました。

同社によれば、ハッカーが提示しているデータは、Polymarketが開発者向けに無償で提供している公開APIエンドポイントや、ブロックチェーン上に記録されたオンチェーンデータを収集 (スクレイピング) したものに過ぎないとしています。

Polymarket側は以下のような姿勢を示しています。

比較項目ハッカーの主張Polymarketの公式見解
データの性質内部データベースからの流出公開APIおよびオンチェーンデータ
侵入の有無不正アクセスによる窃取公開エンドポイントへのアクセス
データの価値有料で販売されるべき機密情報開発者に無料で提供されている情報
報奨金制度存在しない2026年4月16日から実施中

Polymarketは、「オンチェーンであることの美しさは、すべてのデータが公開され、監査可能であることだ」と強調しており、今回の件はプラットフォームのセキュリティ欠陥ではなく、むしろ透明性という「機能」がハッカーによって歪められて伝えられたものであると結論付けています。

2026年におけるWeb3セキュリティの現状と「偽装リーク」

今回の騒動の背景には、2026年に入り仮想通貨 (暗号資産) 業界を狙ったサイバー攻撃が急増しているという状況があります。

ブロックチェーンセキュリティ企業Hackenのレポートによると、2026年第1四半期だけでWeb3プロジェクトは合計4億8,200万ドルの損失を被っており、インシデント件数は44件に達しています。

このような「警戒態勢」にある市場の心理を突き、実際には公開されている情報をあたかも「ハッキングによる流出」であるかのように偽装して販売する手法が増加しています。

テクニカルな論点:APIの挙動とデータプライバシー

ハッカー側は、Polymarketの注文板 (CLOB) APIやGamma APIにおけるCORS (Cross-Origin Resource Sharing) の設定ミスを指摘しています。

しかし、多くのセキュリティ専門家は、これらのAPIがそもそも一般公開を前提としているものであることから、「データベース自体の漏洩 (DB Leak) の可能性は極めて低い」との見解を示しています。

実際、脅威リサーチ企業の専門家は、今回のデータは単にパース (解析) された公開情報の集合体であり、ユーザーの非公開な個人情報や秘密鍵が危険にさらされている証拠は見当たらないと分析しています。

バグバウンティプログラムを巡る言論の相違

ハッカーは「報奨金制度がないから公開した」と主張していますが、事実は異なります。

Polymarketは2026年4月16日からCantinaプラットフォーム上で公式のバグバウンティプログラムを開始しており、これまでに446件もの報告を受け取っています。

この事実との乖離は、ハッカーの真の目的が「プラットフォームの評価失墜」や、情報を誤認した投資家からの金銭奪取にある可能性を示唆しています。

ユーザーは、SNS上の刺激的な「リーク情報」を鵜呑みにせず、公式のセキュリティ発表を確認する冷静な対応が求められます。

まとめ

Polymarketを巡る今回の騒動は、結果として「データ漏洩」ではなく、公開情報の再配布であった可能性が極めて高い状況です。

しかし、ユーザー側にとっては、自分のウォレットアドレスや活動履歴がこれほど容易に紐付けられ、リスト化され得るというWeb3特有のプライバシーリスクを再認識する機会となりました。

今後、Polymarketをはじめとする分散型プラットフォームを利用する際は、以下の点に注意が必要です。

  1. オンチェーンデータは永久に公開される:Web3上での活動は、常に誰でも監査可能であることを前提とする。
  2. 公式情報の確認:ダークウェブ発の情報を盲信せず、信頼できるセキュリティ機関の分析を待つ。
  3. 適切なプライバシー対策:必要に応じて、メインウォレットと予測市場用ウォレットを分離するなどの対策を講じる。

2026年のWeb3業界において、透明性とプライバシーのバランスをどう保つかは、ユーザーとプラットフォーム双方にとっての大きな課題であり続けるでしょう。