預測市場平台 Polymarket 疑遭資料外洩，逾 30 萬條記錄及漏洞利用工具包外洩

深潮 TechFlow 消息，4 月 29 日，据 Dark Web Informer 披露，去中心化预测市场平台 Polymarket 疑遭黑客入侵，威胁行为者 xorcat 在一知名网络犯罪论坛发布了逾 30 万条数据记录及配套漏洞利用工具包。数据提取日期为 2026 年 4 月 27 日。

據稱，攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括：1 萬個用戶完整個人信息（含姓名、代理錢包及基礎地址）、4111 條評論、1000 條舉報記錄（含 58 個 ETH 地址及管理員認證地址標識）、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址，以及 9000 個關注者社交圖譜數據。

工具包中包含多個漏洞的概念驗證代碼，涉及 CVE-2025-62718（Axios NO_PROXY 躲避，CVSS 9.9，可觸發服務端請求偽造）、CVE-2024-51479（Next.js 中間件認證繞過，CVSS 7.5）及 CORS 錯誤配置等。此外，工具包還附有自動化持續拉取腳本及完整紅隊報告（含 MITRE ATT&CK 映射）。

xorcat 表示，Polymarket 未設立漏洞賞金計劃，且事前未收到任何通知。目前 Polymarket 方面尚未作出公開回應。