刚看到 Polymarket 这波被骇客指控泄露数据的事，有点意思。说是有人声称窃取了 30 多万条记录，包括用户名、头像、钱包地址之类的，结果 Polymarket 直接反驳说这根本是无稽之谈，那些数据早就公开在网上了。

这里有个挺有趣的点——Polymarket 说他们的数据本来就在链上，完全透明可审计，这不是漏洞啊，这是真正的设计特性。开发者和用户都能通过免费 API 查到同样的信息，所以根本不需要骇客去“窃取”。安全研究人员也有人支持这个说法，认为可能只是数据被解析了，不是真正的数据库入侵。

但这事儿也反映了加密圈的一个老问题——链上透明和用户隐私怎么平衡。即使技术上数据是公开的，把用户名、头像、钱包地址这些敏感信息绑在一起暴露出来，还是会引发隐私疑虑。骇客们说他们利用了未记录的 API 端点和配置错误，这部分可能才是真正的问题所在。

Polymarket 也提到他们 4 月中旬启动了漏洞赏金计划，已经收到 400 多份报告了。看起来平台在积极应对，但这波骇客事件能不能化解还要看后续的技术细节披露和修复速度。反正最近 Web3 安全事件频繁，大家都得更谨慎。