估值150亿美元、正大举融资的预测市场龙头,在最敏感的时刻迎来一记重拳。
2026年4月27日,自称xorcat的威胁行为者在知名网络犯罪论坛发帖,声称已成功入侵Polymarket,并公开超过30万笔(300,000+)用户记录,连同一套完整的漏洞利用工具包(exploit kit)及可实际执行的概念验证指令码(Po Cscripts)。此一讯息由资安情报帐号Dark Web Informer在X上率先披露,随即在加密社群引发广泛讨论。
根据xorcat的论坛贴文,这次资料提取并非暴力入侵,而是利用Polymarket API基础设施三个关键设计缺陷:
未公开的API端点(undocumented endpoints):透过未列入官方档案的隐藏介面直接存取资料库层
分页控制缺陷(weak pagination controls):在CLOB交易API的limit引数传入999,999,绕过应有的查询上限,一次性批次提取所有记录,且全程未触发任何速率限制(rate limiting)
CORS错误配置(CORS misconfiguration):跨源资源共享设定允许任意来源带凭证的请求(credentialed cross-origin requests),理论上让攻击者可伪造合法用户身份发起请求
xorcat在贴文中表示,未曾事先通知Polymarket,原因直白:「平台没有漏洞奖励计划(bug bounty program)。」
Polymarket对相关指控予以全盘否认。平台声称,xorcat所谓的「泄露」资料,本质上是「公开可存取的链上与API资料」(publicly accessible on-chain and API data),强调其链上架构设计本就使资料可被公开审计,并可透过公开端点自由取得,没有任何私人信息遭到泄露。
这套说法在技术上并非全无道理——预测市场的核心逻辑确实建立在透明度之上,链上交易记录公开可查,是设计初衷。然而批评者立即指出,「资料设计上公开」与「被系统性批次聚合成可交易的资料集在犯罪论坛流通」,是截然不同的两件事。CORS错误配置允许带凭证的跨域请求,也绝非「正常公开设计」的一部分。
Polymarket否认中最模糊的地带,在于KYC(身份验证)资料的归属。自Polymarket获CFTC核准以「指定合约市场」身分重返美国后,美国用户须完成完整KYC程序,提交姓名、社会安全码(SSN)及地址。若泄露的30万笔记录中包含任何KYC栏位,其严重程度将远超平台轻描淡写的「公开资料」定义。
目前Polymarket并未就KYC资料是否在泄露范围内提供明确说明。
此次事件并非Polymarket第一次面对安全危机。过去几个月,平台已累积三起重大事故:
2025年12月:第三方身份验证漏洞(third-party authentication breach),导致即使启用双重验证(2FA)的帐户也遭盗用,多名用户资金损失
2026年1月:Polymarket上的Telegram交易机器人Polycule遭攻击,损失23万美元($230K)
2026年2月:离链nonce操纵攻击(off-chain nonce manipulation attack),针对自动化交易机器人
三个月三起事故,加上此次API安全疑云,形成一条清晰的模式:Polymarket在快速扩张的同时,安全基础建设未能同步跟上。
此次资安事件的时间点,对Polymarket而言尤其棘手。据悉,平台目前正洽谈一轮4亿美元的融资,若完成,估值将达150亿美元($15B);此前,纽交所母公司洲际交易所(ICE)已斥资6亿美元入股,显示华尔街对预测市场的高度兴趣。
更广泛的背景是,预测市场ETF申请正在推进,监管机构与机构投资人对平台的信任,是整个赛道能否进入主流市场的关键前提。一个在安全事故后仍以「这都是公开资料」为由敷衍的平台,如何说服监管机构它已准备好承接机构资金,是Polymarket当前面临的真正考验。