預測市場龍頭 Polymarket 正在洽談 4 億美元融資、估值衝 150 億美元之際,威脅行為者 xorcat 於 4 月 27 日在網路犯罪論壇公開超過 30 萬筆用戶記錄,並附上完整漏洞利用工具包,聲稱透過 API 分頁繞過與 CORS 錯誤配置大規模提取資料。Polymarket 否認遭駭,稱所有資料「設計上本就公開可存取」——但這份否認,恐怕難以平息外界對 KYC 資料安全與預測市場監管信任的疑慮。
(前情提要:Polymarket 洽談 4 億美元融資、估值衝 150 億:ICE 上月剛砸 6 億,預測市場進入華爾街狂熱期)
(背景補充:Polymarket 的「上帝之手」:預測爭議頻發,「中心化」困境下的裁決權黑盒)
估值 150 億美元、正大舉融資的預測市場龍頭,在最敏感的時刻迎來一記重拳。
2026 年 4 月 27 日,自稱 xorcat 的威脅行為者在知名網路犯罪論壇發帖,聲稱已成功入侵 Polymarket,並公開超過 30 萬筆(300,000+)用戶記錄,連同一套完整的漏洞利用工具包(exploit kit)及可實際執行的概念驗證指令碼(PoC scripts)。此一訊息由資安情報帳號 Dark Web Informer 在 X 上率先披露,隨即在加密社群引發廣泛討論。
‼️ Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified.
⠀
‣ Threat Actor: xorcat
‣… pic.twitter.com/UAmCL46pk3— Dark Web Informer (@DarkWebInformer) April 28, 2026
駭客手法:三個 API 漏洞,批次提取 30 萬筆記錄
根據 xorcat 的論壇貼文,這次資料提取並非暴力入侵,而是利用 Polymarket API 基礎設施三個關鍵設計缺陷:
- 未公開的 API 端點(undocumented endpoints):透過未列入官方檔案的隱藏介面直接存取資料庫層
- 分頁控制缺陷(weak pagination controls):在 CLOB 交易 API 的 limit 引數傳入
999,999,繞過應有的查詢上限,一次性批次提取所有記錄,且全程未觸發任何速率限制(rate limiting) - CORS 錯誤配置(CORS misconfiguration):跨源資源共享設定允許任意來源帶憑證的請求(credentialed cross-origin requests),理論上讓攻擊者可偽造合法用戶身份發起請求
xorcat 在貼文中表示,未曾事先通知 Polymarket,原因直白:「平台沒有漏洞獎勵計畫(bug bounty program)。」
Polymarket:這是公開資料,沒有私人資訊外洩
Polymarket 對相關指控予以全盤否認。平台聲稱,xorcat 所謂的「洩露」資料,本質上是「公開可存取的鏈上與 API 資料」(publicly accessible on-chain and API data),強調其鏈上架構設計本就使資料可被公開審計,並可透過公開端點自由取得,沒有任何私人資訊遭到洩露。
這套說法在技術上並非全無道理——預測市場的核心邏輯確實建立在透明度之上,鏈上交易記錄公開可查,是設計初衷。然而批評者立即指出,「資料設計上公開」與「被系統性批次聚合成可交易的資料集在犯罪論壇流通」,是截然不同的兩件事。CORS 錯誤配置允許帶憑證的跨域請求,也絕非「正常公開設計」的一部分。
KYC 資料懸而未決,美國用戶風險最高
Polymarket 否認中最模糊的地帶,在於 KYC(身份驗證)資料的歸屬。自 Polymarket 獲 CFTC 核准以「指定合約市場」身分重返美國後,美國用戶須完成完整 KYC 程式,提交姓名、社會安全碼(SSN)及地址。若洩露的 30 萬筆記錄中包含任何 KYC 欄位,其嚴重程度將遠超平台輕描淡寫的「公開資料」定義。
目前 Polymarket 並未就 KYC 資料是否在洩露範圍內提供明確說明。
這不是第一次:Polymarket 的安全黑歷史
此次事件並非 Polymarket 第一次面對安全危機。過去幾個月,平台已累積三起重大事故:
- 2025 年 12 月:第三方身份驗證漏洞(third-party authentication breach),導致即使啟用雙重驗證(2FA)的帳戶也遭盜用,多名用戶資金損失
- 2026 年 1 月:Polymarket 上的 Telegram 交易機器人 Polycule 遭攻擊,損失 23 萬美元($230K)
- 2026 年 2 月:離鏈 nonce 操縱攻擊(off-chain nonce manipulation attack),針對自動化交易機器人
三個月三起事故,加上此次 API 安全疑雲,形成一條清晰的模式:Polymarket 在快速擴張的同時,安全基礎建設未能同步跟上。
時機最糟糕:4 億美元融資談判正進行中
此次資安事件的時間點,對 Polymarket 而言尤其棘手。據悉,平台目前正洽談一輪 4 億美元的融資,若完成,估值將達 150 億美元($15B);此前,紐交所母公司洲際交易所(ICE)已斥資 6 億美元入股,顯示華爾街對預測市場的高度興趣。
更廣泛的背景是,預測市場 ETF 申請正在推進,監管機構與機構投資人對平台的信任,是整個賽道能否進入主流市場的關鍵前提。一個在安全事故後仍以「這都是公開資料」為由敷衍的平台,如何說服監管機構它已準備好承接機構資金,是 Polymarket 當前面臨的真正考驗。
📍相關報導📍
FBI突襲Polymarket CEO住家,查扣手機電腦,拜登政府進行政治報復?
Polymarket 聲明重返美國:獲 CFTC 核準,以「指定合約市場」身分營運中介式交易平台
深度分析鏈上預測市場「Polymarket」,如何成全球大事風向標、面對的技術&監管挑戰?
