300.000 dữ liệu người dùng bị rò rỉ ra ngoài dưới dạng gói dữ liệu; Polymarket mắc kẹt trong lập luận “dữ liệu công khai”
Tuyển chọn TechFlowTuyển chọn TechFlow
300.000 dữ liệu người dùng bị rò rỉ ra ngoài dưới dạng gói dữ liệu; Polymarket mắc kẹt trong lập luận “dữ liệu công khai”
Phía nền tảng khẳng định tất cả nội dung đều là dữ liệu công khai, không có bất kỳ thông tin cá nhân nào bị rò rỉ.
Chuyên sâu báo cáo Web3Tác giả: Claude, TechFlow
Giới thiệu của TechFlow: Ngày 27 tháng 4, một hacker lấy biệt danh “xorcat” đã đăng tải một tệp nén lên một diễn đàn tội phạm mạng, trong đó chứa hơn 300.000 bản ghi được trích xuất từ Polymarket, năm kịch bản khai thác (PoC) có thể chạy được và hai lỗ hổng bảo mật cấp CVE; dữ liệu gốc chiếm khoảng 750 MB.
Tài khoản tình báo đe dọa blockchain Dark Web Informer đã tiết lộ sự việc này trên X vào ngày hôm sau. Cùng ngày, Polymarket đã phản hồi, khẳng định dữ liệu liên quan “đã có thể truy cập công khai thông qua API”, và phân loại sự việc là “một tính năng chứ không phải rò rỉ dữ liệu”. Tuy nhiên, tuyên bố chính thức của nền tảng không trực tiếp giải quyết các cấu hình sai API và chi tiết khai thác do hacker nêu ra.
Ngày 27 tháng 4, một đối tượng tấn công lấy biệt danh “xorcat” đã đăng một tệp nén lên một diễn đàn tội phạm mạng: tệp JSON dung lượng 8,3 MB, khi giải nén đạt khoảng 750 MB, bao gồm hơn 300.000 bản ghi được trích xuất từ Polymarket, năm kịch bản khai thác (PoC) hoạt động được và một báo cáo kỹ thuật.
Cùng ngày, Polymarket đã phản hồi. Tuy nhiên, phản hồi này không mang tính chất xử lý khủng hoảng truyền thống như xin lỗi và điều tra, mà thay vào đó là một lời bác bỏ gần như khiêu khích. Tài khoản chính thức của nền tảng trên X đăng bài với giọng điệu châm biếm rằng toàn bộ nội dung đều có thể truy cập thông qua các điểm cuối công khai và dữ liệu trên chuỗi, đồng thời xác định đây là “một tính năng, không phải lỗ hổng”.
Sự việc do đó biến thành một vụ “luận chiến nhiều chiều”: bên hacker khẳng định đây là một cuộc tấn công dữ liệu được công khai mà không thông báo trước, đồng thời chỉ rõ cụ thể một số cấu hình sai API; còn phía nền tảng khẳng định toàn bộ nội dung đều là dữ liệu công khai, không có bất kỳ thông tin riêng tư nào bị rò rỉ.
Hành trình tấn công: “Một loạt cánh cửa không khóa”
Theo mô tả trong bài đăng của xorcat trên diễn đàn, cuộc tấn công không phụ thuộc vào bất kỳ lỗ hổng phức tạp nào, mà giống như việc đi xuyên qua một loạt cánh cửa không khóa. Theo phân tích lại của phương tiện an ninh mạng The CyberSec Guru, cuộc tấn công chủ yếu khai thác ba loại vấn đề: các điểm cuối API chưa được công bố, việc bỏ qua cơ chế phân trang của API giao dịch CLOB (Sổ lệnh giới hạn tập trung), và một cấu hình sai CORS (Chia sẻ tài nguyên giữa các miền).
Báo cáo công khai chỉ ra rằng nhiều điểm cuối của Polymarket được cho là hoàn toàn không yêu cầu xác thực. Ví dụ, điểm cuối bình luận hỗ trợ liệt kê toàn bộ hồ sơ người dùng bằng phương pháp vét cạn; điểm cuối báo cáo tiết lộ dữ liệu hoạt động của người dùng; điểm cuối người theo dõi cho phép bất kỳ ai, ngay cả khi chưa đăng nhập, vẽ lại toàn bộ sơ đồ quan hệ xã hội của bất kỳ địa chỉ ví nào.
Bên trong hơn 300.000 bản ghi rò rỉ: Có gì?
Bài đăng của xorcat trên diễn đàn cùng các phân tích lại từ The CyberSec Guru và The Crypto Times cho thấy gói dữ liệu rò rỉ được tổ chức chủ yếu theo ba nhóm: người dùng, thị trường và công cụ tấn công (xem thẻ dữ liệu bên dưới).
Trong nhóm người dùng, 10.000 hồ sơ độc lập chứa tên thật, biệt danh, tiểu sử cá nhân, ảnh đại diện, địa chỉ ví đại diện và địa chỉ ví nền tảng. 9.000 hồ sơ người theo dõi có thể dựng nên sơ đồ quan hệ xã hội. 4.111 bản ghi bình luận đều kèm theo hồ sơ người dùng liên quan. Trong 1.000 bản ghi báo cáo, có 58 địa chỉ Ethereum độc lập. Các trường ID người dùng nội bộ như createdBy và updatedBy cũng xuất hiện rải rác khắp nơi, gián tiếp tái tạo một phần cấu trúc tài khoản nền tảng.
Nhóm thị trường bao gồm 48.536 thị trường từ hệ thống Polymarket Gamma (kèm đầy đủ siêu dữ liệu, condition ID, token ID), hơn 250.000 thị trường CLOB đang hoạt động (kèm địa chỉ hợp đồng FPMM), 292 sự kiện có ghi rõ tên người gửi và người ra phán quyết cùng địa chỉ ví nội bộ, và 100 cấu hình phần thưởng kèm địa chỉ hợp đồng USDC và tỷ lệ thanh toán hàng ngày.
Mặc dù địa chỉ ví trên chuỗi vốn dĩ là ẩn danh, nhưng khi chúng xuất hiện đồng thời với tên thật, tiểu sử cá nhân và ảnh đại diện, tính ẩn danh ấy lập tức sụp đổ. Đây chính là điểm tranh cãi cốt lõi mà phản hồi của Polymarket lần này chưa chạm tới:
Việc dữ liệu “có công khai hay không” và việc dữ liệu sau khi được tổng hợp có còn bảo vệ được danh tính người dùng hay không — là hai vấn đề hoàn toàn khác nhau.
“Đây là tính năng, không phải lỗ hổng”: Lời phản bác của Polymarket
Phản hồi của Polymarket đăng trên X ngày 28 tháng 4 chỉ gồm một tweet duy nhất. Nền tảng mở đầu bằng biểu tượng cảm xúc “😂”, trước tiên đặt câu hỏi về từ ngữ “bị xâm nhập”, sau đó bác bỏ từng điểm: dữ liệu trên chuỗi vốn đã có thể kiểm toán công khai, không có dữ liệu nào bị “rò rỉ”, và thông tin tương tự vốn đã có thể truy cập miễn phí qua API công khai, không cần mua bán. Toàn bộ tuyên bố kết thúc bằng câu khẳng định định tính: “Đây là tính năng, không phải lỗ hổng”.
Theo báo cáo của The Crypto Times, phản hồi của Polymarket không trực tiếp xử lý các cáo buộc kỹ thuật cụ thể do hacker nêu ra, bao gồm cấu hình sai API, cấu hình sai CORS, các điểm cuối chưa được công bố, thiếu giới hạn tốc độ (rate limiting)… Nền tảng mạnh mẽ phản bác ở khía cạnh dễ bác nhất — “dữ liệu có công khai hay không”, nhưng lại im lặng trước vấn đề an ninh trọng tâm hơn: “Kẻ tấn công đã trích xuất và đóng gói dữ liệu hàng loạt thông qua đường dẫn không dự kiến”.
Bên xorcat cũng cho biết họ không thông báo trước cho Polymarket, với lý do nền tảng này không vận hành chương trình tiền thưởng tìm lỗ hổng (bug bounty). Thông tin này hiện chưa được bên thứ ba xác minh, nhưng nếu đúng, điều đó phản ánh một khoảng trống nhất định trong quản trị an ninh chủ động của Polymarket: thiếu kênh tiết lộ có trách nhiệm (responsible disclosure) chính thức, khiến các hacker có xu hướng công khai ngay lập tức thay vì báo cáo nội bộ.
Đây không phải lần đầu tiên Polymarket bị phơi bày vấn đề an ninh
Quay lại dòng thời gian: từ tháng 8 đến tháng 9 năm 2024, nhiều người dùng đăng nhập Polymarket bằng tài khoản Google đã báo cáo việc bị đánh cắp USDC; kẻ tấn công lợi dụng hàm proxy trong SDK của Magic Labs để chuyển số dư người dùng vào địa chỉ lừa đảo. Bộ phận hỗ trợ khách hàng của Polymarket đã xác nhận ít nhất năm vụ tấn công tương tự trước cuối tháng 9.
Tháng 11 năm 2025, một hacker lợi dụng khu vực bình luận của Polymarket để đăng các liên kết lừa đảo; khi người dùng nhấp vào, mã độc sẽ được cài đặt vào thiết bị, gây thiệt hại tích lũy hơn 500.000 USD.
Tháng 12 năm 2025, lại xảy ra một đợt mất cắp hàng loạt tài khoản. Polymarket xác nhận sự việc trên Discord, quy kết nguyên nhân là “lỗ hổng trong dịch vụ xác thực danh tính của bên thứ ba”. Thảo luận trên mạng xã hội phổ biến cho rằng nhóm người dùng đăng nhập qua email của Magic Labs là đối tượng bị nhắm đến; tuy nhiên, nền tảng không nêu đích danh nhà cung cấp dịch vụ liên quan, cũng không tiết lộ số lượng người dùng bị ảnh hưởng hoặc mức độ thiệt hại cụ thể.
Sau mỗi sự việc, nền tảng đều đưa ra phản hồi ở các mức độ khác nhau: có trường hợp đổ lỗi cho nhà cung cấp dịch vụ bên thứ ba, có trường hợp thừa nhận vấn đề và cam kết liên hệ người dùng bị ảnh hưởng. Sự kiện xorcat lần này là lần đầu tiên Polymarket sử dụng hoàn toàn lập luận “đây vốn là dữ liệu công khai” làm lá chắn phòng thủ. Nhìn từ mạch lịch sử, phản hồi lần này giống hơn một nỗ lực tranh giành định tính sự việc, chứ không phải phản ứng an ninh thông thường.
Tính đến thời điểm bài viết được phát hành, Polymarket vẫn chưa đưa ra bất kỳ thông báo nào về việc sửa chữa các lỗ hổng kỹ thuật cụ thể do xorcat tiết lộ, và các kịch bản khai thác (PoC) trên diễn đàn vẫn có thể được bất kỳ ai tải xuống.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
