Polymarket 해킹 피해 발생, xorcat이 30만 건의 기록 및 취약점 도구 유출, 플랫폼 측 입장: 원래 공개되도록 설계됨

📄전체 원문· trafilatura에 의해 자동 추출됨Gemini 翻譯2454 자

예측 시장의 선두주자인 Polymarket이 4억 달러 규모의 투자 유치와 150억 달러의 기업 가치를 논의 중인 가운데, 위협 행위자 xorcat이 4월 27일 사이버 범죄 포럼에 30만 건 이상의 사용자 기록을 공개하고 전체 취약점 이용 툴킷을 첨부했습니다. xorcat은 API 페이징 우회 및 CORS 설정 오류를 통해 대규모로 데이터를 추출했다고 주장했습니다. Polymarket은 해킹 사실을 부인하며 모든 데이터는 "설계상 원래 공개적으로 접근 가능"하다고 밝혔으나, 이러한 부인은 KYC 데이터 보안 및 예측 시장 규제 신뢰성에 대한 외부의 우려를 잠재우기 어려울 것으로 보입니다. (이전 기사: Polymarket, 4억 달러 투자 유치 및 150억 달러 가치 평가 논의 중: ICE는 지난달 6억 달러 투자, 예측 시장은 월스트리트의 열광기로 진입) (배경 보충: Polymarket의 '신의 손': 예측 논란 빈발, '중앙화' 딜레마 속 재판권 블랙박스) 기업 가치 150억 달러를 기록하며 대규모 투자를 유치 중인 예측 시장의 선두주자가 가장 민감한 시기에 큰 타격을 입었습니다. 2026년 4월 27일, xorcat이라 자칭하는 위협 행위자가 유명 사이버 범죄 포럼에 게시물을 올려 Polymarket을 성공적으로 해킹했다고 주장하며 30만 건(300,000+) 이상의 사용자 기록과 함께 완전한 취약점 이용 툴킷(exploit kit) 및 실제 실행 가능한 개념 증명 스크립트(PoC scripts)를 공개했습니다. 이 정보는 보안 정보 계정인 Dark Web Informer가 X를 통해 처음 공개했으며, 즉시 암호화폐 커뮤니티에서 광범위한 논의를 불러일으켰습니다. (트윗 내용 생략) xorcat의 포럼 게시물에 따르면, 이번 데이터 추출은 무차별 대입 공격이 아니라 Polymarket API 인프라의 세 가지 핵심 설계 결함을 이용한 것입니다. - 문서화되지 않은 API 엔드포인트(undocumented endpoints): 공식 문서에 기재되지 않은 숨겨진 인터페이스를 통해 데이터베이스 계층에 직접 접근 - 페이징 제어 결함(weak pagination controls): CLOB 거래 API의 limit 인수에 999,999를 입력하여 적절한 조회 제한을 우회하고, 한 번에 모든 기록을 일괄 추출했으며, 이 과정에서 속도 제한(rate limiting)이 전혀 작동하지 않음 - CORS 설정 오류(CORS misconfiguration): 교차 출처 리소스 공유 설정이 임의 출처의 인증된 요청(credentialed cross-origin requests)을 허용하여, 이론적으로 공격자가 합법적인 사용자 신분을 위조하여 요청을 시작할 수 있게 함 xorcat은 게시물에서 Polymarket에 사전 통보하지 않은 이유를 "플랫폼에 버그 바운티 프로그램(bug bounty program)이 없기 때문"이라고 직설적으로 밝혔습니다. Polymarket은 관련 의혹을 전면 부인했습니다. 플랫폼은 xorcat이 주장하는 '유출' 데이터는 본질적으로 "공개적으로 접근 가능한 온체인 및 API 데이터(publicly accessible on-chain and API data)"라고 주장하며, 온체인 아키텍처 설계상 데이터가 공개적으로 감사 가능하고 공개 엔드포인트를 통해 자유롭게 획득할 수 있어 어떠한 개인 정보도 유출되지 않았다고 강조했습니다. 이러한 주장은 기술적으로 완전히 틀린 말은 아닙니다. 예측 시장의 핵심 논리는 투명성에 기반하며, 온체인 거래 기록이 공개적으로 조회 가능한 것은 설계 의도이기 때문입니다. 그러나 비판자들은 "데이터가 설계상 공개되어 있다"는 것과 "시스템적으로 일괄 수집되어 거래 가능한 데이터셋으로 범죄 포럼에서 유통되는 것"은 완전히 다른 문제라고 지적했습니다. CORS 설정 오류가 인증된 교차 출처 요청을 허용하는 것 또한 결코 '정상적인 공개 설계'의 일부가 아닙니다. Polymarket의 부인 중 가장 모호한 부분은 KYC(신원 인증) 데이터의 귀속 문제입니다. Polymarket이 CFTC로부터 '지정 계약 시장(DCM)' 자격을 승인받아 미국 시장에 복귀한 이후, 미국 사용자는 이름, 사회보장번호(SSN), 주소를 제출하는 전체 KYC 절차를 완료해야 합니다.

데이터 상태✓ 전체 내용 추출 완료원문 읽기 (動區 BlockTempo)

🔍과거 유사 사건· 키워드 + 종목 매칭3 건

2026-04-29

다크웹이 Polymarket 해킹을 주장했으나, 해당 플랫폼은 반박했다

유사도 120%關鍵字 polymarket同分類 hot

2026-04-27

루마니아, 300개 사이트 차단 및 500만 유로 규모 치료 기금 조성, Polymarket 금지 조치 법원서 유지

유사도 120%關鍵字 polymarket同分類 hot

2026-04-24

트럼프, Polymarket의 Maduro 베팅 관련 군인 기소에 세계가 '카지노'가 되어가고 있다고 언급

유사도 120%關鍵字 polymarket同分類 hot

💡 현재 키워드 + 종목 매칭(MVP) 사용 중 · 추후 embedding 의미론적 검색으로 업그레이드 예정