Polymarket 遭駭客 xorcat 入侵，30 萬筆記錄、漏洞工具全曝光，平台回應：本來就設計公開

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯2454 字

在預測市場龍頭 Polymarket 洽談 4 億美元融資、估值衝 150 億美元之際，威脅行為者 xorcat 於 4 月 27 日在網路犯罪論壇公開超過 30 萬筆用戶記錄，並附上完整漏洞利用工具包，聲稱透過 API 分頁繞過與 CORS 錯誤配置大規模提取資料。Polymarket 否認遭駭，稱所有資料「設計上本就公開可存取」——但這份否認，恐怕難以平息外界對 KYC 資料安全與預測市場監管信任的疑慮。（前情提要：Polymarket 洽談 4 億美元融資、估值衝 150 億：ICE 上月剛砸 6 億，預測市場進入華爾街狂熱期）（背景補充：Polymarket 的「上帝之手」：預測爭議頻發，「中心化」困境下的裁決權黑盒）估值 150 億美元、正大舉融資的預測市場龍頭，在最敏感的時刻迎來一記重拳。 2026 年 4 月 27 日，自稱 xorcat 的威脅行為者在知名網路犯罪論壇發帖，聲稱已成功入侵 Polymarket，並公開超過 30 萬筆（300,000+）用戶記錄，連同一套完整的漏洞利用工具包（exploit kit）及可實際執行的概念驗證指令碼（PoC scripts）。此一訊息由資安情報帳號 Dark Web Informer 在 X 上率先披露，隨即在加密社群引發廣泛討論。 ‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified. ⠀ ‣ Threat Actor: xorcat ‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026 根據 xorcat 的論壇貼文，這次資料提取並非暴力入侵，而是利用 Polymarket API 基礎設施三個關鍵設計缺陷： - 未公開的 API 端點（undocumented endpoints）：透過未列入官方檔案的隱藏介面直接存取資料庫層 - 分頁控制缺陷（weak pagination controls）：在 CLOB 交易 API 的 limit 引數傳入 999,999，繞過應有的查詢上限，一次性批次提取所有記錄，且全程未觸發任何速率限制（rate limiting） - CORS 錯誤配置（CORS misconfiguration）：跨源資源共享設定允許任意來源帶憑證的請求（credentialed cross-origin requests），理論上讓攻擊者可偽造合法用戶身份發起請求 xorcat 在貼文中表示，未曾事先通知 Polymarket，原因直白：「平台沒有漏洞獎勵計畫（bug bounty program）。」 Polymarket 對相關指控予以全盤否認。平台聲稱，xorcat 所謂的「洩露」資料，本質上是「公開可存取的鏈上與 API 資料」（publicly accessible on-chain and API data），強調其鏈上架構設計本就使資料可被公開審計，並可透過公開端點自由取得，沒有任何私人資訊遭到洩露。這套說法在技術上並非全無道理——預測市場的核心邏輯確實建立在透明度之上，鏈上交易記錄公開可查，是設計初衷。然而批評者立即指出，「資料設計上公開」與「被系統性批次聚合成可交易的資料集在犯罪論壇流通」，是截然不同的兩件事。CORS 錯誤配置允許帶憑證的跨域請求，也絕非「正常公開設計」的一部分。 Polymarket 否認中最模糊的地帶，在於 KYC（身份驗證）資料的歸屬。自 Polymarket 獲 CFTC 核准以「指定合約市場」身分重返美國後，美國用戶須完成完整 KYC 程式，提交姓名、社會安全碼（SSN）及地址。若洩露的 30 萬筆記錄中包含任何 KYC 欄位，其嚴重程度將遠超平台輕描淡寫的「公開資料」定義。目前 Polymarket 並未就 KYC 資料是否在洩露範圍內提供明確說明。此次事件並非 Polymarket 第一次面對安全危機。過去幾個月，平台已累積三

資料狀態✓ 已擷取全文閱讀原文（動區 BlockTempo）

🔍歷史類似事件· 關鍵字 + 標的比對3 則

2026-04-29

暗網聲稱駭入 Polymarket，但該平台予以反擊

相似度 120%關鍵字 polymarket同分類 hot

2026-04-27

羅馬尼亞封鎖 300 個網站並啟動 500 萬歐元治療基金，Polymarket 禁令維持法院裁決

相似度 120%關鍵字 polymarket同分類 hot

2026-04-24

Trump 稱世界正變成一座「賭場」，因有士兵被控在 Polymarket 上對 Maduro 進行投注

相似度 120%關鍵字 polymarket同分類 hot

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：2938ba3f00

來源：動區 BlockTempo

發佈：2026-04-29 03:53:24

分類：hot · 導出分類 hot

標的：未指定

社群投票：+0 / −0 · ⭐ 1 重要 · 💬 0 留言