預測市場平臺 Polymarket 疑遭數據泄露,逾 30 萬條記錄及漏洞利用工具包外泄
據 Dark Web Informer 披露,去中心化預測市場平臺 Polymarket 疑遭黑客入侵,威脅行爲者 xorcat 在一知名網絡犯罪論壇發佈了逾 30 萬條數據記錄及配套漏洞利用工具包。數據提取日期爲 2026 年 4 月 27 日。
據稱,攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括:1 萬個用戶完整個人信息(含姓名、代理錢包及基礎地址)、4111 條評論、1000 條舉報記錄(含 58 個 ETH 地址及管理員認證地址標識)、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址,以及 9000 個關注者社交圖譜數據。
工具包中包含多個漏洞的概念驗證代碼,涉及 CVE-2025-62718(Axios NO_PROXY 繞過,CVSS 9.9,可觸發服務端請求僞造)、CVE-2024-51479(Next.js 中間件認證繞過,CVSS 7.5)及 CORS 錯誤配置等。此外,工具包還附有自動化持續拉取腳本及完整紅隊報告(含 M