Polymarket 否認 30 萬筆記錄外洩指控，稱 API 數據為公開可審計

根據 Polymarket 於 4 月 29 日在 X 貼文，網路安全帳號 Dark Web Informer 指控去中心化預測市場平台 Polymarket 遭到入侵，超過 30 萬筆記錄及一個漏洞利用工具包被洩露至網路犯罪論壇；Polymarket 隨即在 X 聲明否認，表示所有鏈上數據公開可審計。

Polymarket 官方回應

根據 Polymarket 於 2026 年 4 月 29 日在 X 平台發布的聲明，平台表示其所有鏈上數據均為公開可審計，任何人均可透過公開 API 免費取用，無需付費。Polymarket 在聲明中將此定性為「功能而非漏洞（a feature, not a bug）」。

Polymarket 同時指出，平台設有 500 萬美元的漏洞賞金計劃，與攻擊者聲稱「Polymarket 沒有漏洞賞金計劃」的說法相矛盾；並明確說明，攻擊公共 API 端點的行為不符合賞金申領資格。

Dark Web Informer 的指控內容與技術細節

根據 Dark Web Informer 於 2026 年 4 月 29 日在 X 平台的貼文，攻擊者「xorcat」聲稱透過 Polymarket 的 Gamma 和 CLOB API 中的未公開端點、分頁繞過及 CORS 配置錯誤，於 2026 年 4 月 27 日完成數據提取。Dark Web Informer 披露的指控數據規模如下：

· 總計超過 30 萬筆記錄，提取後約 750 MB，壓縮後約 8.3 MB

· 約 1 萬個含完整個人識別資訊（PII）的唯一用戶記錄，涵蓋姓名、化名、代理錢包及基本地址

· 48,536 個含完整元數據的 Gamma 市場記錄

· 超過 25 萬個含 FPMM 地址的活躍 CLOB 市場記錄

Dark Web Informer 的貼文同時列出攻擊者聲稱的技術漏洞，包括 CVE-2025-62718（Axios NO_PROXY 繞過，CVSS 評分 9.9）、CLOB API CORS 配置錯誤（通配符來源加 credentials=true），及多個未經身份驗證的 API 端點。

Polymarket 漏洞賞金計劃背景

根據 Polymarket 官方漏洞賞金計劃頁面，平台設有 500 萬美元的漏洞賞金計劃，透過 Spearbit/Cantina 平台接受漏洞回報，涵蓋智能合約及 Web 應用程式漏洞，嚴重程度分為嚴重、高、中等及低四個等級。根據計劃條款，攻擊公共 API 端點的行為不在賞金資格範圍內。

常見問題

Polymarket 否認資料外洩的聲明於何時發布？核心論點為何？

根據 Polymarket 於 2026 年 4 月 29 日在 X 平台的聲明，平台否認資料外洩，表示所有鏈上數據本為公開可審計，可透過公開 API 免費取用，並指出攻擊公共 API 端點不符合漏洞賞金資格。

Dark Web Informer 聲稱的洩露數據規模及數據提取日期為何？

根據 Dark Web Informer 於 2026 年 4 月 29 日在 X 平台的貼文，攻擊者聲稱於 2026 年 4 月 27 日提取超過 30 萬筆記錄，包括約 1 萬個含完整個人識別資訊（PII）的用戶記錄及超過 25 萬個 CLOB 市場記錄。

Polymarket 的漏洞賞金計劃規模為何？由哪個平台管理？

根據 Polymarket 官方漏洞賞金計劃頁面，計劃規模為 500 萬美元，透過 Spearbit/Cantina 平台接受漏洞回報；攻擊公共 API 端點的行為不在賞金資格範圍內。