4月29日消息,去中心化预测市场平台Polymarket疑遭黑客入侵,威胁行为者xorcat在一知名网络犯罪论坛发布了逾30万条数据记录及配套漏洞利用工具包。 据称,攻击者通过未公开的API端点、分页绕过及Polymarket Gamma与CLOB API的CORS错误配置提取数据。泄露内容包括:1万个用户完整个人信息(含姓名、代理钱包及基础地址)、4111条评论、1000条举报记录(含58个ETH地址及管理员认证地址标识)、48536个Gamma市场元数据、逾25万个活跃CLOB市场的固定乘积做市商地址,以及9000个关注者社交图谱数据。 工具包中包含多个漏洞的概念验证代码,涉及CVE-2025-62718(AxiosNO_PROXY绕过,CVSS 9.9,可触发服务端请求伪造)、CVE-2024-51479(Next.js中间件认证绕过,CVSS 7.5)及CORS错误配置等。此外,工具包还附有自动化持续拉取脚本及完整红队报告。
Polymarketがデータ漏洩の疑い、30万件以上の記録と脆弱性悪用ツールキットが流出
4月29日消息,去中心化预测市场平台Polymarket疑遭黑客入侵,威胁行为者xorcat在一知名网络犯罪论坛发布了逾30万条数据记录及配套漏洞利用工具包。
据称,攻击者通过未公开的API端点、分页绕过及Polymarket Gamma与CLOB API的CORS错误配置提取数据。泄露内容包括:1万个用户完整个人信息(含姓名、代理钱包及基础地址)、4111条评论、1000条举报记录(含58个ETH地址及管理员认证地址标识)、48536个Gamma市场元数据、逾25万个活跃CLOB市场的固定乘积做市商地址,以及9000个关注者社交图谱数据。
工具包中包含多个漏洞的概念验证代码,涉及CVE-2025-62718(AxiosNO_PROXY绕过,CVSS 9.9,可触发服务端请求伪造)、CVE-2024-51479(Next.js中间件认证绕过,CVSS 7.5)及CORS错误配置等。此外,工具包还附有自动化持续拉取脚本及完整红队报告。