Gate News 消息,4 月 29 日——去中心化预测市场平台 Polymarket 似乎遭遇了数据泄露事件,威胁行为者 xorcat 在已知的网络犯罪论坛上发布了超过 300,000 条数据记录以及配套的利用工具。据报道,攻击者利用 Polymarket 的 Gamma 和 CLOB API 中未披露的 API 端点、分页绕过以及 CORS 配置错误来提取数据。
泄露的数据包括 10,000 名用户的完整个人信息 (names、代理钱包以及基础地址)、4,111 条评论、1,000 条举报记录 (,其中包含 58 个 ETH 地址和管理员身份验证标识)、48,536 条 Gamma 市场元数据条目、超过 250,000 个活跃的 CLOB 市场自动做市商地址,以及 9,000 个关注者社交图谱数据点。
利用工具包包含多种漏洞的概念验证(POC)代码:CVE-2025-62718 (Axios NO_PROXY 绕过,CVSS 9.9,可实现服务器端请求伪造),CVE-2024-51479 (Next.js 中间件身份验证绕过,CVSS 7.5),以及 CORS 配置错误。该软件包还包括自动化数据提取脚本以及完整的红队评估报告。
相关快讯
