預測市場平台 Polymarket 疑遭數據洩露，逾 30 萬條記錄及漏洞利用工具包外洩

ChainCatcher 消息，去中心化預測市場平台 Polymarket 疑遭黑客入侵，威脅行為者 xorcat 在一知名網絡犯罪論壇發布了逾 30 萬條數據記錄及配套漏洞利用工具包。

據稱，攻擊者通過未公開的 API 端點、分頁繞過及 Polymarket Gamma 與 CLOB API 的 CORS 錯誤配置提取數據。泄露內容包括：1 萬個用戶完整個人信息（含姓名、代理錢包及基礎地址）、4111 條評論、1000 條舉報記錄（含 58 個 ETH 地址及管理員認證地址標識）、48536 個 Gamma 市場元數據、逾 25 萬個活躍 CLOB 市場的固定乘積做市商地址，以及 9000 個關注者社交圖譜數據。

工具包中包含多個漏洞的概念驗證代碼，涉及 CVE-2025-62718（Axios NO_PROXY 繞過，CVSS 9.9，可觸發服務端請求偽造）、CVE-2024-51479（Next.js 中間件認證繞過，CVSS 7.5）及 CORS 錯誤配置等。此外，工具包還附有自動化持續拉取腳本及完整紅隊報告。