Polymarket 遭駭客 xorcat 入侵，30 萬筆記錄、漏洞工具全曝光，平台回應：本來就設計公開

📄完整原文· 由 trafilatura 自动抓取2454 字

預測市場龍頭 Polymarket 正在洽談 4 億美元融資、估值衝 150 億美元之際，威脅行為者 xorcat 於 4 月 27 日在網路犯罪論壇公開超過 30 萬筆用戶記錄，並附上完整漏洞利用工具包，聲稱透過 API 分頁繞過與 CORS 錯誤配置大規模提取資料。Polymarket 否認遭駭，稱所有資料「設計上本就公開可存取」——但這份否認，恐怕難以平息外界對 KYC 資料安全與預測市場監管信任的疑慮。（前情提要：Polymarket 洽談 4 億美元融資、估值衝 150 億：ICE 上月剛砸 6 億，預測市場進入華爾街狂熱期）（背景補充：Polymarket 的「上帝之手」：預測爭議頻發，「中心化」困境下的裁決權黑盒）值 150 億美元、正大舉融資的預測市場龍頭，在最敏感的時刻迎來一記重拳。 2026 年 4 月 27 日，自稱 xorcat 的威脅行為者在知名網路犯罪論壇發帖，聲稱已成功入侵 Polymarket，並公開超過 30 萬筆（300,000+）用戶記錄，連同一套完整的漏洞利用工具包（exploit kit）及可實際執行的概念驗證指令碼（PoC scripts）。此一訊息由資安情報帳號 Dark Web Informer 在 X 上率先披露，隨即在加密社群引發廣泛討論。 ‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified. ⠀ ‣ Threat Actor: xorcat ‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026 根據 xorcat 的論壇貼文，這次資料提取並非暴力入侵，而是利用 Polymarket API 基礎設施三個關鍵設計缺陷： - 未公開的 API 端點（undocumented endpoints）：透過未列入官方檔案的隱藏介面直接存取資料庫層 - 分頁控制缺陷（weak pagination controls）：在 CLOB 交易 API 的 limit 引數傳入 999,999 ，繞過應有的查詢上限，一次性批次提取所有記錄，且全程未觸發任何速率限制（rate limiting） - CORS 錯誤配置（CORS misconfiguration）：跨源資源共享設定允許任意來源帶憑證的請求（credentialed cross-origin requests），理論上讓攻擊者可偽造合法用戶身份發起請求 xorcat 在貼文中表示，未曾事先通知 Polymarket，原因直白：「平台沒有漏洞獎勵計畫（bug bounty program）。」 Polymarket 對相關指控予以全盤否認。平台聲稱，xorcat 所謂的「洩露」資料，本質上是「公開可存取的鏈上與 API 資料」（publicly accessible on-chain and API data），強調其鏈上架構設計本就使資料可被公開審計，並可透過公開端點自由取得，沒有任何私人資訊遭到洩露。這套說法在技術上並非全無道理——預測市場的核心邏輯確實建立在透明度之上，鏈上交易記錄公開可查，是設計初衷。然而批評者立即指出，「資料設計上公開」與「被系統性批次聚合成可交易的資料集在犯罪論壇流通」，是截然不同的兩件事。CORS 錯誤配置允許帶憑證的跨域請求，也絕非「正常公開設計」的一部分。 Polymarket 否認中最模糊的地帶，在於 KYC（身份驗證）資料的歸屬。自 Polymarket 獲 CFTC 核准以「指定合約市場」身分重返美國後，美國用戶須完成完整 KYC 程式，提交姓名、社會安全碼（SSN）及地址。若洩露的 30 萬筆記錄中包含任何 KYC 欄位，其嚴重程度將遠超平台輕描淡寫的「公開資料」定義。目前 Polymarket 並未就 KYC 資料是否在洩露範圍內提供明確說明。此次事件並非 Polymarket 第一次面對安全危機。過去幾個月，平台已累積三起重大事故： - 2025 年 12 月：第三方身份驗證漏洞（third-party authentication breach），導致即使啟用雙重驗證（2FA）的帳戶也遭盜用，多名用戶資金損失 - 2026 年 1 月：Polymarket 上的 Telegram 交易機器人 Polycule 遭攻擊，損失 23 萬美元（$230K） - 2026 年 2 月：離鏈 nonce 操縱攻擊（off-chain nonce manipulation attack），針對自動化交易機器人三個月三起事故，加上此次 API 安全疑雲，形成一條清晰的模式：Polymarket 在快速擴張的同時，安全基礎建設未能同步跟上。此次資安事件的時間點，對 Polymarket 而言尤其棘手。據悉，平台目前正洽談一輪 4 億美元的融資，若完成，估值將達 150 億美元（$15B）；此前，紐交所母公司洲際交易所（ICE）已斥資 6 億美元入股，顯示華爾街對預測市場的高度興趣。更廣泛的背景是，預測市場 ETF 申請正在推進，監管機構與機構投資人對平台的信任，是整個賽道能否進入主流市場的關鍵前提。一個在安全事故後仍以「這都是公開資料」為由敷衍的平台，如何說服監管機構它已準備好承接機構資金，是 Polymarket 當前面臨的真正考驗。

数据状态✓ 已抓取全文阅读原文（動區 BlockTempo）

🔍历史类似事件· 关键词 + 标的比对3 则

2026-04-29

暗网声称 Polymarket 遭黑客攻击，但该平台予以回击

相似度 120%關鍵字 polymarket同分類 hot

2026-04-27

罗马尼亚封锁 300 个网站并启动 500 万欧元的治疗基金，Polymarket 禁令在法庭维持原判

相似度 120%關鍵字 polymarket同分類 hot

2026-04-24

Trump 称世界正变成“赌场”，此前有士兵因在 Polymarket 上押注 Maduro 而被起诉

相似度 120%關鍵字 polymarket同分類 hot

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：2938ba3f00

来源：動區 BlockTempo

发布：2026-04-29 03:53:24

分类：hot · 导出分类 hot

标的：未指定

社群投票：+0 / −0 · ⭐ 1 重要 · 💬 0 留言