Polymarket疑遭重大数据泄露:逾30万条记录与漏洞工具包流入暗网
4月29日,区块链与加密资产领域传来一则令人警惕的消息:去中心化预测市场平台Polymarket疑似遭遇黑客入侵。一位名为“xorcat”的威胁行为者,在一个知名的网络犯罪论坛上,公开发布了超过30万条数据记录,并配套提供了一个完整的漏洞利用工具包。
2026虚拟币交易平台推荐:
- 欧易(OKX)交易平台(>>>进入官网<<<)(下载OKX的Android安装包)
- 币安(Binance)交易平台(>>>进入官网<<<)(下载币安Android安装包)
根据泄露信息显示,攻击者并非通过常规路径入侵。他们利用了未公开的API端点、分页绕过机制,以及Polymarket的Gamma与CLOB(中央限价订单簿)API中存在的CORS(跨源资源共享)错误配置,从而成功提取了大量核心数据。
那么,这次泄露究竟包含了什么?数据规模相当惊人:
- 用户敏感信息:涉及1万名用户的完整个人信息,包括姓名、袋里钱&包地址以及基础地址。
- 平台交互数据:4111条用户评论,以及1000条举报记录。值得注意的是,这些举报记录中包含了58个ETH地址以及被管理员认证过的地址标识。
- 市场核心元数据:高达48,536个Gamma市场的元数据信息。
- 做市商地址暴露:超过25万个活跃CLOB市场的固定乘积做市商(CPMM)地址被泄露。
- 社交图谱:还有约9000个关注者关系的社交图谱数据。
这还没完。随数据一同发布的工具包,其专业程度更值得安全团队深入研究。其中包含了多个高危漏洞的概念验证(PoC)代码:
- CVE-2025-62718:这是一个Axios库的NO_PROXY绕过漏洞,CVSS评分高达9.9分。利用此漏洞,攻击者可以触发服务端请求伪造(SSRF),危害极大。
- CVE-2024-51479:一个Next.js中间件的认证绕过漏洞,CVSS评分为7.5分。
- CORS错误配置:攻击者正是利用此类配置问题完成了数据提取。
此外,工具包还附带了自动化的持续数据拉取脚本,以及一份完整的红队评估报告。这意味着,任何获取到此工具包的人,理论上都具备了针对类似漏洞进行攻击的能力。对于整个Web3生态而言,这无疑敲响了一次响亮的警钟——安全配置的疏忽,其代价可能远超想象。

