根据 Polymarket 于 4 月 29 日在 X 贴文,网络安全账号 Dark Web Informer 指控去中心化预测市场平台 Polymarket 遭到入侵,超过 30 万笔记录及一个漏洞利用工具包被泄露至网络犯罪论坛;Polymarket 随即在 X 声明否认,表示所有链上数据公开可审计。
Polymarket 官方回应
根据 Polymarket 于 2026 年 4 月 29 日在 X 平台发布的声明,平台表示其所有链上数据均为公开可审计,任何人均可通过公开 API 免费取用,无需付费。Polymarket 在声明中将此定性为“功能而非漏洞(a feature, not a bug)”。
Polymarket 同时指出,平台设有 500 万美元的漏洞赏金计划,与攻击者声称“Polymarket 没有漏洞赏金计划”的说法相矛盾;并明确说明,攻击公共 API 端点的行为不符合赏金申领资格。
Dark Web Informer 的指控内容与技术细节
根据 Dark Web Informer 于 2026 年 4 月 29 日在 X 平台的贴文,攻击者“xorcat”声称通过 Polymarket 的 Gamma 和 CLOB API 中的未公开端点、分页绕过及 CORS 配置错误,于 2026 年 4 月 27 日完成数据提取。Dark Web Informer 披露的指控数据规模如下:
· 总计超过 30 万笔记录,提取后约 750 MB,压缩后约 8.3 MB
· 约 1 万个含完整个人识别信息(PII)的唯一用户记录,涵盖姓名、化名、代理钱包及基本地址
· 48,536 个含完整元数据的 Gamma 市场记录
· 超过 25 万个含 FPMM 地址的活跃 CLOB 市场记录
Dark Web Informer 的贴文同时列出攻击者声称的技术漏洞,包括 CVE-2025-62718(Axios NO_PROXY 绕过,CVSS 评分 9.9)、CLOB API CORS 配置错误(通配符来源加 credentials=true),及多个未经身份验证的 API 端点。
Polymarket 漏洞赏金计划背景
根据 Polymarket 官方漏洞赏金计划页面,平台设有 500 万美元的漏洞赏金计划,通过 Spearbit/Cantina 平台接受漏洞回报,涵盖智能合约及 Web 应用程序漏洞,严重程度分为严重、高、中等及低四个等级。根据计划条款,攻击公共 API 端点的行为不在赏金资格范围内。
常见问题
Polymarket 否认数据泄露的声明于何时发布?核心论点为何?
根据 Polymarket 于 2026 年 4 月 29 日在 X 平台的声明,平台否认数据泄露,表示所有链上数据本为公开可审计,可通过公开 API 免费取用,并指出攻击公共 API 端点不符合漏洞赏金资格。
Dark Web Informer 声称的泄露数据规模及数据提取日期为何?
根据 Dark Web Informer 于 2026 年 4 月 29 日在 X 平台的贴文,攻击者声称于 2026 年 4 月 27 日提取超过 30 万笔记录,包括约 1 万个含完整个人识别信息(PII)的用户记录及超过 25 万个 CLOB 市场记录。
Polymarket 的漏洞赏金计划规模为何?由哪个平台管理?
根据 Polymarket 官方漏洞赏金计划页面,计划规模为 500 万美元,通过 Spearbit/Cantina 平台接受漏洞回报;攻击公共 API 端点的行为不在赏金资格范围内。
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
