Polymarket ปฏิเสธข้อกล่าวหาข้อมูลลูกค้ารั่วไหล หลังผู้ใช้ชื่อ xorcat อ้างขายฐานข้อมูลกว่า 300,000 รายการบนดาร์กเว็บ บริษัทระบุข้อมูลดังกล่าวเป็นข้อมูลสาธารณะที่เข้าถึงได้อยู่แล้วผ่าน API และ on-chain สวนกระแสความกังวลเกิดขึ้นท่ามกลางเหตุแฮ็กในอุตสาหกรรมคริปโตที่พุ่งสูงในไตรมาสแรกปี 2569 ผู้เชี่ยวชาญด้านความปลอดภัยตั้งข้อสงสัยว่าอาจเป็นเพียงการ “จัดระเบียบข้อมูลสาธารณะ” แล้วนำมาขาย กรณีนี้ตอกย้ำความย้อนแย้งของ Web3 ที่โปร่งใส แต่ก็เปิดช่องให้เกิดการตีความผิด ขณะเดียวกัน Polymarket ยืนยันมี bug bounty program และไม่พบการเจาะระบบจริงตลาดกำลังจับตาว่าเหตุการณ์นี้จะกระทบความเชื่อมั่นของแพลตฟอร์มหรือไม่
Polymarket แพลตฟอร์ม prediction markets บนบล็อกเชน ออกโรงปฏิเสธอย่างแข็งกร้าวต่อกระแสข่าว “ข้อมูลรั่วไหล” ที่กำลังแพร่สะพัดในโลกออนไลน์ โดยระบุว่าข้อกล่าวหาดังกล่าวเป็น “เรื่องไร้สาระโดยสิ้นเชิง” และชี้ว่าข้อมูลที่ถูกนำไปเสนอขายนั้น แท้จริงแล้วเป็นข้อมูลสาธารณะที่ใครก็สามารถเข้าถึงได้อยู่แล้ว
ประเด็นร้อนเริ่มต้นเมื่อบริษัทด้านความปลอดภัยไซเบอร์ Vecert Analyzer รวมถึงบัญชีบนแพลตฟอร์ม X ที่ติดตามกิจกรรมในดาร์กเว็บ เผยแพร่ภาพหน้าจอจาก DarkForums ซึ่งปรากฏผู้ใช้นามแฝง “xorcat” อ้างว่าสามารถเจาะระบบ Polymarket และครอบครองข้อมูลผู้ใช้งานจำนวนมหาศาล
xorcat ระบุว่าข้อมูลที่ได้มาครอบคลุมมากกว่า 300,000 รายการ รวมถึงโปรไฟล์ผู้ใช้กว่า 10,000 ราย ซึ่งมีรายละเอียดตั้งแต่ชื่อ-นามสกุล รูปโปรไฟล์ ไปจนถึง proxy wallets และ base addresses ข้อมูลที่ฟังดูเหมือน “ข้อมูลส่วนบุคคลระดับลึก” ในสายตาผู้ใช้งานทั่วไป
อย่างไรก็ตาม Polymarket ตอบโต้ทันทีด้วยท่าทีประชดประชันปนท้าทาย โดยระบุว่า “คุณไม่ได้แฮ็กระบบเรา คุณแค่ดึงข้อมูลจาก API สาธารณะและ on-chain data ที่เปิดให้เข้าถึงอยู่แล้ว แล้วพยายามนำไปขาย ทั้งที่เราเปิดให้นักพัฒนาใช้ได้ฟรี”
บริษัทเน้นย้ำว่าหนึ่งใน “สิ่งที่ดี” ของระบบ on-chain คือความโปร่งใสที่ตรวจสอบได้โดยสาธารณะ ซึ่งในมุมมองของ Polymarket นี่คือ “ฟีเจอร์” ไม่ใช่ “ช่องโหว่” และไม่มีข้อมูลใดถูกละเมิดหรือรั่วไหลจากระบบภายใน
คำชี้แจงดังกล่าวสะท้อนแก่นของ Web3 ที่ยึดหลัก openness และ transparency เป็นหัวใจ แต่ขณะเดียวกันก็เผยให้เห็น “จุดเปราะบางเชิงการรับรู้” เมื่อข้อมูลที่เปิดเผยได้ กลับถูกนำไปตีความว่าเป็นการรั่วไหล
ในอีกด้านหนึ่ง xorcat อ้างว่าการเผยแพร่ข้อมูลครั้งนี้เกิดจากการที่ Polymarket ไม่มี bug bounty program รองรับการแจ้งช่องโหว่ อย่างไรก็ตามข้อเท็จจริงกลับสวนทาง เนื่องจาก Polymarket ได้เปิดโครงการดังกล่าวตั้งแต่วันที่ 16 เมษายน 2569 และมีรายงานช่องโหว่ส่งเข้ามาแล้วถึง 446 รายการภายในเวลาไม่กี่วัน
xorcat ยังอ้างเพิ่มเติมว่าใช้เทคนิคขั้นสูง เช่น undocumented API endpoints, การ bypass pagination และการตั้งค่า CORS ที่ผิดพลาด เพื่อดึงข้อมูลจากระบบ Gamma และ CLOB APIs พร้อมทั้งขู่จะเปิดเผยข้อมูลจาก prediction markets อื่น ๆ ในอีกไม่กี่วันข้างหน้า
แม้คำกล่าวอ้างจะฟังดูซับซ้อนในเชิงเทคนิค แต่ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์กลับไม่ปักใจเชื่อ วลาดิเมียร์ เอส นักวิจัยด้านภัยคุกคามและประธานเจ้าหน้าที่ความปลอดภัยของ Legalblock ให้ความเห็นว่า สถานการณ์นี้ดูเหมือนเป็นเพียงการ “รวบรวมและจัดระเบียบข้อมูล” จากแหล่งสาธารณะ แล้วนำเสนอให้ดูเหมือนเป็นการรั่วไหลของฐานข้อมูล ซึ่งเขามองว่า “ไม่น่าจะเป็นไปได้” ที่จะเป็นการแฮ็กจริง
เหตุการณ์นี้เกิดขึ้นในช่วงเวลาที่อุตสาหกรรมคริปโตกำลังเผชิญคลื่นความเสี่ยงด้านความปลอดภัยอย่างรุนแรง โดยรายงานจาก Hacken ระบุว่าในไตรมาสแรกของปี 2569 เพียงไตรมาสเดียว โครงการ Web3 สูญเสียมูลค่ารวมถึง 482 ล้านดอลลาร์สหรัฐ จากเหตุแฮ็กและการหลอกลวง 44 ครั้ง
บริบทดังกล่าวทำให้ข่าวลือเกี่ยวกับ “ข้อมูลรั่ว” มีแรงกระเพื่อมมากกว่าปกติ และส่งผลต่อความเชื่อมั่นของผู้ใช้งานในวงกว้าง แม้ในกรณีของ Polymarket จะยังไม่มีหลักฐานยืนยันการเจาะระบบจริงก็ตาม
ในเชิงยุทธศาสตร์ เหตุการณ์นี้อาจเป็นสัญญาณเตือนสำคัญต่อแพลตฟอร์ม Web3 ว่า “ความโปร่งใส” เพียงอย่างเดียวไม่เพียงพอ หากขาดการสื่อสารที่ชัดเจนต่อผู้ใช้งานเกี่ยวกับขอบเขตของข้อมูลสาธารณะและความเสี่ยงที่เกี่ยวข้อง
ท้ายที่สุด คำถามที่ตลาดกำลังจับตาไม่ใช่แค่ว่ามีการแฮ็กเกิดขึ้นจริงหรือไม่ แต่คือ Web3 จะสามารถสร้างสมดุลระหว่าง “ความเปิดเผย” กับ “ความมั่นใจของผู้ใช้” ได้อย่างไรในโลกที่ข้อมูลเปิดกว้าง แต่ความเชื่อใจยังเปราะบางยิ่งกว่าเดิม
