Gate 新聞訊息,4 月 29 日——去中心化預測市場平台 Polymarket 似乎遭遇了資料外洩事件:威脅行為者 xorcat 在一個已知的網路犯罪論壇上釋出了超過 300,000 筆資料記錄,並同步釋出配套的漏洞利用工具。根據報導,攻擊者透過利用 Polymarket 的 Gamma 與 CLOB API 中未公開的介面端點、分頁繞過,以及 CORS 設定錯誤來提取資料。
外洩資料包含 10,000 位使用者的完整個人資訊 (names、代理錢包以及 base 地址)、4,111 則留言、1,000 筆檢舉記錄 (,其中包含 58 個 ETH 地址以及管理員驗證識別碼)、48,536 筆 Gamma 市場中繼資料項目、超過 250,000 個活躍 CLOB 市場自動做市商地址,以及 9,000 個追蹤者社交圖譜資料點。
漏洞利用工具包包含多項漏洞的概念驗證程式碼:CVE-2025-62718 (Axios NO_PROXY 繞過,CVSS 9.9,可實現伺服器端請求偽造)、CVE-2024-51479 (Next.js 中介軟體驗證繞過,CVSS 7.5),以及 CORS 設定錯誤。該套件也包含自動化資料擷取腳本,以及一份完整的紅隊評估報告。
Related News
