Polymarket bị hacker xorcat tấn công, 300.000 bản ghi và công cụ khai thác lỗ hổng bị lộ, nền tảng phản hồi: vốn dĩ đã được thiết kế công khai

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2454 từ

Trong khi Polymarket, nền tảng dẫn đầu thị trường dự đoán, đang đàm phán huy động vốn 400 triệu USD với mức định giá lên tới 15 tỷ USD, thì vào ngày 27 tháng 4, tác nhân đe dọa xorcat đã công khai hơn 300.000 hồ sơ người dùng trên một diễn đàn tội phạm mạng, kèm theo bộ công cụ khai thác lỗ hổng hoàn chỉnh, tuyên bố đã trích xuất dữ liệu quy mô lớn thông qua việc vượt qua phân trang API và cấu hình sai CORS. Polymarket phủ nhận việc bị hack, cho rằng tất cả dữ liệu "vốn dĩ được thiết kế để truy cập công khai" — nhưng lời phủ nhận này e rằng khó có thể xoa dịu những lo ngại của dư luận về bảo mật dữ liệu KYC và niềm tin vào quy định của thị trường dự đoán. (Thông tin trước đó: Polymarket đàm phán huy động vốn 400 triệu USD, định giá đạt 15 tỷ: ICE vừa chi 600 triệu tháng trước, thị trường dự đoán bước vào thời kỳ cuồng nhiệt của Wall Street) (Bối cảnh bổ sung: "Bàn tay của Chúa" tại Polymarket: Tranh chấp dự đoán xảy ra thường xuyên, hộp đen quyền quyết định trong tình thế tiến thoái lưỡng nan của sự "tập trung hóa") Nền tảng dẫn đầu thị trường dự đoán với giá trị 15 tỷ USD và đang huy động vốn rầm rộ đã phải hứng chịu một đòn giáng mạnh vào thời điểm nhạy cảm nhất. Ngày 27 tháng 4 năm 2026, một tác nhân đe dọa tự xưng là xorcat đã đăng bài trên một diễn đàn tội phạm mạng nổi tiếng, tuyên bố đã xâm nhập thành công Polymarket và công khai hơn 300.000 (300.000+) hồ sơ người dùng, cùng với một bộ công cụ khai thác lỗ hổng (exploit kit) hoàn chỉnh và các tập lệnh bằng chứng khái niệm (PoC scripts) có thể thực thi thực tế. Thông tin này được tài khoản tình báo an ninh mạng Dark Web Informer tiết lộ đầu tiên trên X, ngay lập tức gây ra cuộc thảo luận rộng rãi trong cộng đồng tiền mã hóa. ‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified. ⠀ ‣ Threat Actor: xorcat ‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026 Theo bài đăng trên diễn đàn của xorcat, việc trích xuất dữ liệu lần này không phải là một cuộc xâm nhập bạo lực, mà là tận dụng ba khiếm khuyết thiết kế quan trọng trong cơ sở hạ tầng API của Polymarket: - Các điểm cuối API không được ghi chép (undocumented endpoints): Truy cập trực tiếp vào lớp cơ sở dữ liệu thông qua các giao diện ẩn không có trong tài liệu chính thức. - Khiếm khuyết kiểm soát phân trang (weak pagination controls): Truyền tham số 999,999 vào limit của API giao dịch CLOB, vượt qua giới hạn truy vấn thông thường, trích xuất hàng loạt tất cả các bản ghi cùng một lúc mà không kích hoạt bất kỳ giới hạn tốc độ (rate limiting) nào. - Cấu hình sai CORS (CORS misconfiguration): Cài đặt chia sẻ tài nguyên chéo nguồn cho phép các yêu cầu chéo nguồn có xác thực (credentialed cross-origin requests), về lý thuyết cho phép kẻ tấn công giả mạo danh tính người dùng hợp pháp để khởi tạo yêu cầu. Trong bài đăng, xorcat cho biết họ chưa từng thông báo trước cho Polymarket, lý do rất thẳng thắn: "Nền tảng không có chương trình tiền thưởng lỗi (bug bounty program)." Polymarket đã phủ nhận toàn bộ các cáo buộc liên quan. Nền tảng tuyên bố rằng dữ liệu bị "rò rỉ" mà xorcat đề cập về bản chất là "dữ liệu on-chain và API có thể truy cập công khai" (publicly accessible on-chain and API data), nhấn mạnh rằng kiến trúc on-chain của họ được thiết kế để dữ liệu có thể được kiểm toán công khai và có thể tự do lấy được thông qua các điểm cuối công khai, không có bất kỳ thông tin cá nhân nào bị rò rỉ. Lập luận này về mặt kỹ thuật không phải là không có lý — logic cốt lõi của thị trường dự

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (動區 BlockTempo)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản3 tin

2026-04-29

Dark Web tuyên bố hack Polymarket, nhưng nền tảng này phản pháo

Độ tương đồng 120%關鍵字 polymarket同分類 hot

2026-04-27

Romania chặn 300 trang web và khởi động quỹ điều trị trị giá 5 triệu EUR khi lệnh cấm Polymarket được tòa án giữ nguyên

Độ tương đồng 120%關鍵字 polymarket同分類 hot

2026-04-24

Trump cho biết thế giới đang trở thành một 'sòng bạc' khi một quân nhân bị buộc tội vì các vụ đặt cược vào Maduro trên Polymarket

Độ tương đồng 120%關鍵字 polymarket同分類 hot

💡 Hiện đang sử dụng đối chiếu từ khóa + tài sản (MVP) · Sau này sẽ nâng cấp lên tìm kiếm ngữ nghĩa embedding