FFeel.Trading
ニュース一覧Polymarket がハッカー xorcat に侵入され、30 万件の記録と脆弱性ツールがすべて流出。プラットフォーム側の回答:「もともと公開するように設計されていた」
動區 BlockTempo2026-04-29 03:53:24 ホット

Polymarket がハッカー xorcat に侵入され、30 万件の記録と脆弱性ツールがすべて流出。プラットフォーム側の回答:「もともと公開するように設計されていた」

ORIGINALPolymarket 遭駭客 xorcat 入侵,30 萬筆記錄、漏洞工具全曝光,平台回應:本來就設計公開
AI 影響分析Grok が分析中...
📄原文全文· trafilatura により自動抽出Gemini 翻譯2454 文字
予測市場のリーダーであるPolymarketが4億ドルの資金調達、評価額150億ドルへの到達を模索する中、脅威アクターのxorcatが4月27日、サイバー犯罪フォーラムにて30万件以上のユーザーレコードを公開し、完全なエクスプロイトキットを添付した。同アクターは、APIのページネーション回避とCORSの誤設定を通じてデータを大規模に抽出したと主張している。Polymarketはハッキングを否定し、すべてのデータは「設計上、公開されアクセス可能である」と主張したが、この否定はKYCデータの安全性や予測市場の規制に対する信頼への懸念を払拭するには至っていない。 (前回の経緯:Polymarketが4億ドルの資金調達を交渉中、評価額は150億ドルに:ICEが先月6億ドルを投じたばかりで、予測市場はウォール街の熱狂期に突入) (背景補足:Polymarketの「神の手」:予測の論争が頻発し、「中央集権化」のジレンマにおける裁決権のブラックボックス) 評価額150億ドル、大規模な資金調達の最中にある予測市場のリーダーが、最も敏感な時期に痛烈な一撃を受けた。 2026年4月27日、xorcatと名乗る脅威アクターが著名なサイバー犯罪フォーラムに投稿し、Polymarketへの侵入に成功したと主張。30万件以上(300,000+)のユーザーレコードを公開し、完全なエクスプロイトキット(exploit kit)および実行可能な概念実証スクリプト(PoC scripts)を添付した。この情報はセキュリティインテリジェンスアカウントのDark Web InformerがXで最初に暴露し、暗号資産コミュニティで広範な議論を巻き起こした。 ‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified. ⠀ ‣ Threat Actor: xorcat ‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026 xorcatのフォーラム投稿によると、今回のデータ抽出はブルートフォース攻撃ではなく、PolymarketのAPIインフラにおける3つの重要な設計上の欠陥を利用したものだという。 - 未公開のAPIエンドポイント(undocumented endpoints):公式ドキュメントに記載されていない隠しインターフェースを通じてデータベース層に直接アクセス - ページネーション制御の欠陥(weak pagination controls):CLOB取引APIのlimit引数に「999,999」を渡すことで、本来のクエリ上限を回避し、一度にすべてのレコードをバッチ抽出。その際、レート制限(rate limiting)は一切トリガーされなかった - CORSの誤設定(CORS misconfiguration):クロスオリジンリソース共有の設定により、任意のオリジンからの認証付きリクエスト(credentialed cross-origin requests)が許可されており、理論上、攻撃者は正規ユーザーになりすましてリクエストを発行可能であった xorcatは投稿の中で、Polymarketに事前通知を行わなかった理由を「プラットフォームにバグ報奨金プログラム(bug bounty program)がないからだ」と端的に述べている。 Polymarketはこれらの告発を全面的に否定している。同プラットフォームは、xorcatが「流出」と称するデータは本質的に「公開アクセス可能なオンチェーンおよびAPIデータ(publicly accessible on-chain and API data)」であると主張。オンチェーンアーキテクチャの設計上、データは公開監査が可能であり、公開エンドポイントを通じて自由に取得できるものであり、いかなる個人情報も流出していないと強調した。 この主張は技術的には一理ある。予測市場の核心的なロジックは確かに透明性の上に成り立っており、オンチェーンの取引記録が公開されているのは設計の意図通りである。しかし、批判者は「データが設計上公開されていること」と「システム的にバッチ集約され、取引可能なデータセットとして犯罪フォーラムで流通すること」は全く別の問題であると指摘している。CORSの誤設定により認証付きのクロスオリジンリクエストが許可されていたことは、決して「正常な公開設計」の一部ではない。 Polymarketの否定の中で最も曖昧な点は、KYC(本人確認)データの帰属についてである。PolymarketがCFTCから「指定契約市場(DCM)」
データステータス✓ 全文抽出済み原文を読む(動區 BlockTempo)
🔍過去の類似イベント· キーワード + 銘柄照合3 件
2026-04-29
ダークウェブがPolymarketのハッキングを主張、しかしプラットフォーム側は反論
類似度 120%關鍵字 polymarket同分類 hot
2026-04-27
ルーマニアが300のサイトをブロックし500万ユーロの治療基金を設立、Polymarketの禁止措置は裁判所で維持
類似度 120%關鍵字 polymarket同分類 hot
2026-04-24
トランプ氏、PolymarketでのMaduro氏に関する賭けで兵士が起訴され、世界は「カジノ」になりつつあると発言
類似度 120%關鍵字 polymarket同分類 hot
💡 現在はキーワード + 銘柄照合(MVP)を使用しています · 今後 embedding セマンティック検索へアップグレード予定
原始情報
ID:2938ba3f00
ソース:動區 BlockTempo
公開:2026-04-29 03:53:24
カテゴリ:hot · エクスポートカテゴリ hot
銘柄:未指定
コミュニティ投票:+0 /0 · ⭐ 1 重要 · 💬 0 コメント