Polymarket 駁回一名暗網賣家關於客戶資料外洩的說法,指出其兜售的 30 萬筆紀錄其實早已可透過鏈上資訊與 API 公開取得。
駭客貼文與 Polymarket 回應
一名在暗網使用代號「xorcat」的行為者於週二在 DarkForums 上發文,聲稱取得超過 30 萬筆紀錄,其中包括 1 萬個用戶檔案,內含姓名、頭像與錢包地址。
該貼文隨後被 Dark Web Informer 和網路安全公司 Vecert Analyzer 標記留意。
Polymarket 稱相關報導是「完全且徹頭徹尾的胡說八道」。該平台表示,相關數據位於公開端點與鏈上紀錄後方,任何開發者都可以免費抓取。
xorcat 表示,這批資料是透過未公開的 API 端點、分頁繞過手法,以及在 Gamma 和 CLOB API 上的 CORS 錯誤設定組合而成。
延伸閱讀: Worldcoin Sees $52M In Volume As Digital Identity Narrative Regains Attention
研究人員與漏洞懸賞計劃
該賣家表示,由於 Polymarket 沒有漏洞懸賞計劃,所以洩露資料是「合理的」。但這項說法並不正確。
一項實際運作中的懸賞計劃已於 4 月 16 日啟動,根據其在 Cantina 上的列表,截至週三已記錄 446 份回報。
Legalblock 首席安全長 Vladimir S 表示,該貼文看起來更像是將公開數據解析後包裝成「資料庫外洩」,而非真正的入侵事件。
Polymarket 過去也曾遭遇問題。與第三方登入服務商相關的帳戶被盜事件在 2025 年底浮現,而 2 月份又發生一次鏈下 nonce 操縱攻擊,鎖定的是交易機器人,但這兩起事件都未波及平台核心合約。
接下來看: Terra Luna Classic Gains 5.3% As Community Burn Attention Returns