Polymarket 疑似数据泄露：超过 30 万条记录和利用工具包被泄露

4月29日，有报道称去中心化预测市场平台Polymarket可能遭到黑客攻击，威胁行为者xorcat在一个知名的网络犯罪论坛上发布了超过30万条数据记录和一套伴随的漏洞利用工具包。
攻击者据称通过未披露的API端点、分页绕过和Polymarket Gamma及CLOB API中的CORS配置错误提取了数据。
泄露的内容包括：10,000名用户的完整个人信息（包括姓名、代理钱包和基础地址）、4,111条评论、1,000份报告（包括58个ETH地址和管理员认证地址标识符）、48,536条Gamma市场元数据、超过250,000个活跃的CLOB市场固定产品做市商地址，以及9,000个关注者社交图的数据。
工具包包含多个漏洞的概念验证代码，包括CVE-2025-62718（Axios NO_PROXY绕过，CVSS 9.9，可能触发服务器端请求伪造）、CVE-2024-51479（Next.js中间件的认证绕过，CVSS 7.5）和CORS配置错误。
此外，工具包还包括自动持续拉取脚本和完整的红队报告。