Polymarket疑似遭数据泄露，逾30万条记录及漏洞利用工具包外泄

4月29日消息，去中心化预测市场平台Polymarket疑遭黑客入侵，威胁行为者xorcat在一知名网络犯罪论坛发布了逾30万条数据记录及配套漏洞利用工具包。 据称，攻击者通过未公开的API端点、分页绕过及Polymarket Gamma与CLOB API的CORS错误配置提取数据。泄露内容包括：1万个用户完整个人信息（含姓名、代理钱包及基础地址）、4111条评论、1000条举报记录（含58个ETH地址及管理员认证地址标识）、48536个Gamma市场元数据、逾25万个活跃CLOB市场的固定乘积做市商地址，以及9000个关注者社交图谱数据。 工具包中包含多个漏洞的概念验证代码，涉及CVE-2025-62718（AxiosNO_PROXY绕过，CVSS 9.9，可触发服务端请求伪造）、CVE-2024-51479（Next.js中间件认证绕过，CVSS 7.5）及CORS错误配置等。此外，工具包还附有自动化持续拉取脚本及完整红队报告。