30 萬條用戶數據被打包外洩，Polymarket 困在“公開數據”的辯護裡

作者：克洛德，深潮 TechFlow

深潮導讀：化名「xorcat」的黑客於 4 月 27 日在網絡犯罪論壇上傳壓縮包，內含從 Polymarket 提取的逾 30 萬條記錄、5 個可運行的漏洞利用腳本以及 2 個 CVE 級漏洞，原始數據約 750MB。

區塊鏈威脅情報賬號 Dark Web Informer 次日在 X 披露此事。Polymarket 當天作出回應，稱所涉數據「本就可通過公開 API 訪問」，將事件定性為「功能」而非洩露。但官方聲明未直接處理黑客所列的 API 錯誤配置和漏洞利用細節。

4 月 27 日，化名「xorcat」的攻擊者在某網絡犯罪論壇上傳了一份壓縮包：8.3MB 的 JSON 文件，解壓後達到約 750MB，內含逾 30 萬條從 Polymarket 提取的記錄、5 個工作中的漏洞利用腳本（PoC）以及一份技術報告。

Polymarket 當日回應。但回應不是常見的危機公關式致歉與排查，而是一段近乎挑釁的反駁。該平臺官方賬號在 X 發文調侃，所有相關內容都可通過公開端點和鏈上數據訪問，定性為「這是功能，不是漏洞」。

事件由此演變為羅生門：黑客方堅稱這是一次未通報即公開發布的數據攻擊，並具體指向幾處 API 錯誤配置；平臺方堅稱所有內容均為公開數據，沒有任何私密信息被洩露。

攻擊路徑：「一連串沒上鎖的門」

按 xorcat 在論壇貼文中的描述，攻擊沒有依賴任何單一的複雜漏洞，而更像穿過了一連串沒上鎖的門。據網絡安全媒體 The CyberSec Guru 覆盤，攻擊主要利用了三類問題：未公開的 API 端點、CLOB（中央限價訂單簿）交易 API 的分頁繞過，以及一處 CORS（跨域資源共享）錯誤配置。

公開報告指出，Polymarket 多個端點據稱完全不需要身份驗證。比如評論端點支持暴力枚舉完整的用戶檔案；報告端點暴露了用戶活動數據；關注者端點允許任何人在不登錄的情況下勾畫任意錢包地址的完整社交關係圖。

30 萬+條記錄裡到底裝了什麼

xorcat 論壇貼文及 The CyberSec Guru、The Crypto Times 的覆盤顯示，外洩包大致按用戶、市場、攻擊工具三類組織（參見下方數據卡）。

用戶側的 1 萬條獨立用戶檔案包含姓名、暱稱、個人簡介、頭像、代理錢包地址和底層錢包地址。9000 條關注者檔案能勾勒出社交關係圖。4111 條評論數據均帶有附屬用戶檔案。1000 條報告記錄中涉及 58 個獨立的以太坊地址。createdBy和updatedBy等內部用戶 ID 字段也散落各處，間接還原了平臺賬戶結構的部分輪廓。

市場側涵蓋 48,536 個來自 Polymarket Gamma 系統的市場（含完整元數據、condition ID、token ID）、超過 25 萬個活躍的 CLOB 市場（附 FPMM 合約地址）、292 條帶有提交者及裁定者內部用戶名和錢包地址的事件，以及 100 份附帶 USDC 合約地址和每日支付率的獎勵配置。

錢包地址在鏈上本身是匿名的，但當它們與姓名、個人簡介、頭像同時出現，匿名性便隨即坍塌。這是 Polymarket 此次回應中未觸及的核心爭議：

數據是否「公開」，與數據被聚合後是否仍能保護用戶身份，是兩個不同問題。

「這是功能不是漏洞」：Polymarket 的反駁

Polymarket 4 月 28 日在 X 發佈的回應只有一條推文。該平臺以表情符號「😂」開場，先質疑「被攻陷」一詞，再逐條反駁：鏈上數據本就可被公開審計，沒有數據被「洩露」，相同信息原本就可以通過公開 API 免費獲取，不必付費購買。整段表述以「這是功能，不是漏洞」作為定性。

The Crypto Times 在報道中指出，Polymarket 的回應沒有直接處理黑客所提出的具體技術指控，包括 API 錯誤配置、CORS 錯誤配置、未公開端點、缺失的速率限制等。平臺在「數據是否公開」這一最容易反駁的層面強勢開火，但對「攻擊者通過非預期路徑批量提取並打包」這一更核心的安全問題保持沉默。

xorcat 方面也稱事前未通知 Polymarket，理由是該平臺沒有漏洞賞金計劃。這一點目前未得到第三方核實，但若屬實，便折射出 Polymarket 在主動安全治理方面的某種空缺：沒有正式的負責任披露通道，攻擊者傾向於直接公開發布而非內部上報。

這不是 Polymarket 第一次被曝安全問題

回到時間線，2024 年 8 月至 9 月，多名通過 Google 賬號登錄 Polymarket 的用戶報告 USDC 被盜，攻擊者利用 Magic Labs SDK 中proxy函數調用，將用戶餘額轉入釣魚地址。Polymarket 客服在 9 月底前確認了至少 5 起類似攻擊。

2025 年 11 月，黑客利用 Polymarket 評論區發佈釣魚鏈接，被點擊後向用戶設備植入惡意腳本，相關詐騙活動累計造成超過 50 萬美元損失。

2025 年 12 月，再次出現批量賬戶被盜。Polymarket 在 Discord 確認事件，歸因於「第三方身份認證服務的漏洞」。社交媒體討論普遍指向通過 Magic Labs 郵箱登錄的用戶群體，平臺未公開點名涉事服務商，亦未披露受影響用戶具體數量與損失規模。

每次事件後，平臺都給出過不同程度的回應：有歸咎於第三方服務商的，有承認問題並承諾聯繫受影響用戶的。本次 xorcat 事件是其中第一次以「這本來就是公開數據」作為完整防線。從歷史脈絡看，本次回應更像是一次對事件性質的爭奪，而非常規意義上的安全事件應對。

截至發稿，Polymarket 未對 xorcat 所披露的具體技術漏洞作出修復說明，論壇上的 PoC 腳本仍可被任何人下載。