预测市场平台 Polymarket 疑遭数据泄露，逾 30 万条记录及漏洞利用工具包外泄

深潮 TechFlow 消息，4 月 29 日，据 Dark Web Informer 披露，去中心化预测市场平台 Polymarket 疑遭黑客入侵，威胁行为者 xorcat 在一知名网络犯罪论坛发布了逾 30 万条数据记录及配套漏洞利用工具包。数据提取日期为 2026 年 4 月 27 日。

据称，攻击者通过未公开的 API 端点、分页绕过及 Polymarket Gamma 与 CLOB API 的 CORS 错误配置提取数据。泄露内容包括：1 万个用户完整个人信息（含姓名、代理钱包及基础地址）、4111 条评论、1000 条举报记录（含 58 个 ETH 地址及管理员认证地址标识）、48536 个 Gamma 市场元数据、逾 25 万个活跃 CLOB 市场的固定乘积做市商地址，以及 9000 个关注者社交图谱数据。

工具包中包含多个漏洞的概念验证代码，涉及 CVE-2025-62718（Axios NO_PROXY 绕过，CVSS 9.9，可触发服务端请求伪造）、CVE-2024-51479（Next.js 中间件认证绕过，CVSS 7.5）及 CORS 错误配置等。此外，工具包还附有自动化持续拉取脚本及完整红队报告（含 MITRE ATT&CK 映射）。

xorcat 表示，Polymarket 未设立漏洞赏金计划，且事前未收到任何通知。目前 Polymarket 方面尚未作出公开回应。