币圈子(120BTC.COm)讯：估值150亿美元、预测迎记已成正大举融资的市场声预测市场龙头，在最敏感的重拳欧亿交易所注册下载时刻迎来一记重拳。

2026年4月27日，黑客自称xorcat的功入威胁行为者在知名网络犯罪论坛发帖，声称已成功入侵Polymarket，侵平并公开超过30万笔(300,预测迎记已成000+)用户记录，连同一套完整的市场声漏洞利用工具包(exploit kit)及可实际执行的概念验证指令码(Po Cscripts)。此一讯息由资安情报帐号Dark Web Informer在X上率先披露，重拳欧亿交易所注册下载随即在加密社群引发广泛讨论。黑客

黑客手法：三个API漏洞，功入批次提取30万笔记录

根据xorcat的侵平论坛贴文，这次资料提取并非暴力入侵，预测迎记已成而是市场声利用Polymarket API基础设施三个关键设计缺陷：

• 未公开的API端点(undocumented endpoints)：透过未列入官方档案的隐藏介面直接存取资料库层

• 分页控制缺陷(weak pagination controls)：在CLOB交易API的limit引数传入999,999，绕过应有的重拳查询上限，一次性批次提取所有记录，且全程未触发任何速率限制(rate limiting)

• CORS错误配置(CORS misconfiguration)：跨源资源共享设定允许任意来源带凭证的请求(credentialed cross-origin requests)，理论上让攻击者可伪造合法用户身份发起请求

xorcat在贴文中表示，未曾事先通知Polymarket，原因直白：「平台没有漏洞奖励计划(bug bounty program)。」

Polymarket：这是公开资料，没有私人信息外泄

Polymarket对相关指控予以全盘否认。平台声称，xorcat所谓的「泄露」资料，本质上是「公开可存取的链上与API资料」(publicly accessible on-chain and API data)，强调其链上架构设计本就使资料可被公开审计，并可透过公开端点自由取得，没有任何私人信息遭到泄露。

这套说法在技术上并非全无道理——预测市场的核心逻辑确实建立在透明度之上，链上交易记录公开可查，是设计初衷。然而批评者立即指出，「资料设计上公开」与「被系统性批次聚合成可交易的资料集在犯罪论坛流通」，是截然不同的两件事。CORS错误配置允许带凭证的跨域请求，也绝非「正常公开设计」的一部分。

KYC资料悬而未决，美国用户风险最高

Polymarket否认中最模糊的地带，在于KYC(身份验证)资料的归属。自Polymarket获CFTC核准以「指定合约市场」身分重返美国后，美国用户须完成完整KYC程序，提交姓名、社会安全码(SSN)及地址。若泄露的30万笔记录中包含任何KYC栏位，其严重程度将远超平台轻描淡写的「公开资料」定义。

目前Polymarket并未就KYC资料是否在泄露范围内提供明确说明。

这不是第一次：Polymarket的安全黑历史

此次事件并非Polymarket第一次面对安全危机。过去几个月，平台已累积三起重大事故：

• 2025年12月：第三方身份验证漏洞(third-party authentication breach)，导致即使启用双重验证(2FA)的帐户也遭盗用，多名用户资金损失

• 2026年1月：Polymarket上的Telegram交易机器人Polycule遭攻击，损失23万美元($230K)

• 2026年2月：离链nonce操纵攻击(off-chain nonce manipulation attack)，针对自动化交易机器人

三个月三起事故，加上此次API安全疑云，形成一条清晰的模式：Polymarket在快速扩张的同时，安全基础建设未能同步跟上。

时机最糟糕：4亿美元融资谈判正进行中

此次资安事件的时间点，对Polymarket而言尤其棘手。据悉，平台目前正洽谈一轮4亿美元的融资，若完成，估值将达150亿美元($15B)；此前，纽交所母公司洲际交易所(ICE)已斥资6亿美元入股，显示华尔街对预测市场的高度兴趣。

更广泛的背景是，预测市场ETF申请正在推进，监管机构与机构投资人对平台的信任，是整个赛道能否进入主流市场的关键前提。一个在安全事故后仍以「这都是公开资料」为由敷衍的平台，如何说服监管机构它已准备好承接机构资金，是Polymarket当前面临的真正考验。

Disclaimer: All text and images published on this site are adapted or collected from the Internet. We do not use them for any commercial purpose, and the copyright belongs to the original author. Since we cannot contact the copyright holders for some content, please contact us to delete it if it infringes or involves illegality. Please keep the original address for reprinting: http://cjkzx.com/html/19d2099960.html