Dark Web tuyên bố hack Polymarket, nhưng nền tảng này phản pháo

📄Toàn văn bài viết· Được trích xuất tự động bởi trafilaturaGemini 翻譯2523 từ

Polymarket đã bác bỏ các cáo buộc về việc rò rỉ dữ liệu sau khi một tác nhân đe dọa có tên xorcat đăng tải 300.000 bản ghi lên một diễn đàn tội phạm mạng. Thị trường dự đoán phi tập trung này cho biết thông tin đó có sẵn công khai thông qua các API và lịch sử on-chain của họ. Tác nhân này, được phát hiện bởi tài khoản giám sát Dark Web Informer, tuyên bố đã trích xuất hồ sơ người dùng, bình luận, dữ liệu thị trường và mã khai thác. Polymarket đã phản hồi, gọi việc tiết lộ này là một tính năng chứ không phải là lỗ hổng. Dữ liệu người dùng Polymarket bị rò rỉ? Bài đăng trên diễn đàn quảng cáo một gói dữ liệu 750 MB chứa khoảng 10.000 hồ sơ người dùng, 4.111 bình luận, 48.536 thị trường từ Gamma API của Polymarket và hơn 250.000 thị trường đang hoạt động từ CLOB API của họ. Tác nhân này cũng bao gồm danh sách người theo dõi, cấu hình phần thưởng và mã định danh người dùng nội bộ. Ngoài dữ liệu thô, gói này được cho là còn đính kèm các bằng chứng khai thác (proof-of-concept). Chúng bao gồm một lỗi bỏ qua proxy Axios được theo dõi là CVE-2025-62718, một cấu hình sai CORS trên CLOB API, một lỗi bỏ qua xác thực middleware Next.js và một lỗi phân trang mà người bán cho biết chấp nhận kích thước truy vấn không giới hạn. Bài đăng đã đóng khung vụ rò rỉ này như bằng chứng về việc kiểm soát truy cập bị hỏng trên Polymarket và tuyên bố rằng nền tảng này không có chương trình bug bounty và chưa bao giờ được thông báo trước khi công bố. Phản hồi của Polymarket Polymarket đã phản bác trong vòng vài giờ. Trong một tuyên bố trên X, nền tảng này cho biết tất cả dữ liệu được gắn cờ trong bài đăng đều có thể kiểm toán on-chain hoặc có thể truy cập thông qua các điểm cuối (endpoints) đã được ghi chép của họ. “Một phần vẻ đẹp của việc ở trên on-chain là tất cả dữ liệu của chúng tôi đều có thể kiểm toán công khai… đây là một tính năng, không phải lỗi. Không có dữ liệu nào bị ‘rò rỉ’ — nó có thể truy cập được thông qua các điểm cuối công khai và dữ liệu on-chain của chúng tôi.” Nhóm cho biết thêm rằng các nhà nghiên cứu không cần phải trả tiền cho người bán trên diễn đàn vì điều này. Thông tin đã được giao thức công bố miễn phí. Nhóm đã hướng người dùng đến tài liệu API của họ. Giới hạn của Bug Bounty Polymarket cũng bác bỏ tuyên bố rằng không có chương trình bug bounty nào tồn tại. Nền tảng này nhấn mạnh chương trình trị giá 5 triệu USD của họ được tổ chức cùng với Cantina, đồng thời làm rõ rằng việc thu thập dữ liệu từ các điểm cuối API công khai không đủ điều kiện nhận bất kỳ phần thưởng nào. Các bài gửi hợp lệ liên quan đến các lỗ hổng đã được xác minh ảnh hưởng đến tiền quỹ, hợp đồng hoặc dữ liệu người dùng cá nhân. Tranh chấp này phản ánh sự căng thẳng thường xuyên trên các thị trường dự đoán và các nền tảng on-chain khác. Các sổ cái minh bạch thường làm mờ ranh giới giữa việc tiết lộ và khám phá. Quan điểm của Polymarket cho thấy họ thấy rất ít rủi ro trong việc tiếp tục công khai hoạt động thị trường. Phản hồi này có thể định hình cách các phát hiện trong tương lai về nền tảng được báo cáo.

Trạng thái dữ liệu✓ Đã trích xuất toàn vănĐọc bài gốc (BeInCrypto)

🔍Sự kiện tương tự trong lịch sử· Đối chiếu từ khóa + tài sản6 tin

2026-04-18

Tỷ lệ cược trên Polymarket về Strait of Hormuz giảm mạnh sau khi Iran nổ súng vào các tàu chở dầu

Độ tương đồng 130%關鍵字 polymarket/fires

2026-04-29

DeFi bị chấn động bởi vụ hack 292 triệu USD, nhưng đang cho thấy khả năng phục hồi, theo Standard Chartered

Độ tương đồng 120%關鍵字 hack同分類 hot

2026-04-29

Polymarket bị hacker xorcat tấn công, 300.000 bản ghi và công cụ khai thác lỗ hổng bị lộ, nền tảng phản hồi: vốn dĩ đã được thiết kế công khai

Độ tương đồng 120%關鍵字 polymarket同分類 hot

2026-04-28