予測市場プラットフォーム Polymarket がデータ漏洩の疑い、30万件以上の記録と脆弱性利用ツールキットが流出

深潮 TechFlow のニュースによると、4月29日、Dark Web Informer が明らかにしたところによると、分散型予測市場プラットフォームの Polymarket がハッカーの攻撃を受けた疑いがあり、脅威行為者の xorcat が有名なネットワーク犯罪フォーラムにて30万件を超えるデータ記録と脆弱性利用ツールキットを公開した。データ抽出の日付は2026年4月27日。

攻撃者は未公開のAPIエンドポイント、ページネーションの回避、Polymarket Gamma と CLOB API の CORS誤設定を利用してデータを抽出したとされる。漏洩した内容には、1万人のユーザーの完全な個人情報（氏名、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレスの識別情報を含む）、48536件のGamma市場メタデータ、25万を超えるアクティブなCLOB市場の固定積み市のマーケットメーカーアドレス、9000人のフォロワーのソーシャルグラフデータが含まれる。

ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（AxiosのNO_PROXY回避、CVSS 9.9、サーバーリクエストフォージェリを引き起こす可能性あり）、CVE-2024-51479（Next.jsのミドルウェア認証回避、CVSS 7.5）、およびCORS誤設定に関するものが含まれる。さらに、ツールキットには自動化された継続的なデータ取得スクリプトと完全なレッドチームレポート（MITRE ATT&CKマッピングを含む）も付属している。

xorcatは、Polymarketには脆弱性バウンティプログラムが設定されておらず、事前に通知も受けていなかったと述べている。現在、Polymarket側からの公式な回答は出ていない。