近日,有网络威胁者自称“xorcat”在黑客论坛公开发布了 30 万条 Polymarket 用户相关数据,引发外界对数据泄露的担忧。去中心化预测市场平台 Polymarket 随即回应称,相关信息本就通过其 API 和链上数据对外公开,所谓“泄露”并不存在。
根据暗网情报监控账号 Dark Web Informer 的追踪,该威胁者声称已提取用户资料、评论、市场数据及部分漏洞利用代码。对此,Polymarket 明确表示,该次曝光是平台公开数据的“特性”,而非安全漏洞。
Polymarket 用户数据真的泄露了吗?
据悉,黑客论坛所发布的数据包容量达 750 MB,包含约 1 万名用户资料、4,111 条评论、48,536 个来自 Polymarket Gamma API 的市场数据,以及超 25 万个由 CLOB API 披露的活跃市场相关信息。
此外,数据包还涵盖关注者名单、奖励配置以及内部用户标识等详细内容。
除原始数据外,威胁者还捆绑了多个漏洞 PoC(概念验证代码),涉及 1 个被追踪为 CVE-2025-62718 的 Axios 代理绕过漏洞、CLOB API 的 CORS 配置缺陷、Next.js 中间件的身份验证绕过、以及一个可进行无限查询的分页漏洞等。
发帖者强调,这一数据包展示了 Polymarket 访问控制存在系统性短板,并指出该平台未设立漏洞赏金计划,且在曝光前未被提前通知。
Polymarket 平台回应
数小时后,Polymarket 在 X(原推特)发文正式澄清称,所谓“泄露”的所有数据,均可通过其链上浏览及 API 文档接口公开获取,完全无需付费或黑客操作。
“这正是一切数据链上可审计的妙处……这些是去中心化特有的优势,而并非漏洞。并没有数据被‘泄露’,所有数据本就通过公开端点和链上信息对外开放。”
官方补充道,研究人员无需通过黑客论坛付费获取数据,这些信息已被协议免费公开,用户可直接查阅其 API 文档获取详细数据访问方法。
漏洞赏金相关说明
对于外界关注的漏洞赏金进展,Polymarket 同时否认“无赏金机制”一说,强调平台已携手 Cantina 推出高达 500 万美元的漏洞赏金计划。同时,平台也表示,单纯通过 API 接口采集公开数据的行为并不符合奖励条件。
只有针对影响资金安全、智能合约及用户私人数据的确切漏洞提交,才符合赏金奖励标准。
此次争议反映出当前预测市场等链上平台,因账本全透明而频繁遭遇“合规公开”与“泄密”边界模糊的讨论。
Polymarket 的表态显示,其对市场数据持续开放持乐观态度。此次应对方式也将影响未来此类事件的舆论报道及安全认知。
