Một kẻ tấn công trên dark web với bí danh "xorcat" tuyên bố đã xâm nhập vào Polymarket và đánh cắp hơn 300.000 bản ghi — bao gồm 10.000 hồ sơ người dùng với tên, ảnh đại diện, ví proxy và địa chỉ crypto.
Tập dữ liệu này được cho là đã được trích xuất vào ngày 27 tháng 4 năm 2026 bằng cách sử dụng sự kết hợp của các endpoint API không được tài liệu hóa và hệ thống cấu hình sai.
#Polymarket ngay lập tức phản công trong vòng vài giờ, gọi các tuyên bố này là "hoàn toàn vô nghĩa." Họ cho biết tất cả dữ liệu được đề cập có thể được kiểm toán trên chuỗi hoặc truy cập qua các endpoint công khai đã được tài liệu hóa.
#Hacker Gói được bán bao gồm 750 MB dữ liệu bao gồm ~10.000 hồ sơ người dùng, 4.111 bình luận, 48.536 thị trường từ Gamma API, và hơn 250.000 thị trường hoạt động từ CLOB API. Cũng bao gồm proof-of-concept exploit cho một số lỗ hổng kỹ thuật, bao gồm: Axios proxy bypass (CVE-2025-62718), cấu hình sai CORS ở CLOB API, bỏ qua xác thực middleware Next.js, và lỗ hổng phân trang.
Các Chuyên Gia An Ninh
Vladimir S, Giám đốc An ninh tại Legalblock, cho biết dữ liệu này có vẻ như là dữ liệu công khai đã được phân tích và đóng gói lại như một vụ rò rỉ cơ sở dữ liệu, không phải là một vụ xâm nhập thực sự.
#PolymarketDeniesDataBreach
$ETH
Tập dữ liệu này được cho là đã được trích xuất vào ngày 27 tháng 4 năm 2026 bằng cách sử dụng sự kết hợp của các endpoint API không được tài liệu hóa và hệ thống cấu hình sai.
#Polymarket ngay lập tức phản công trong vòng vài giờ, gọi các tuyên bố này là "hoàn toàn vô nghĩa." Họ cho biết tất cả dữ liệu được đề cập có thể được kiểm toán trên chuỗi hoặc truy cập qua các endpoint công khai đã được tài liệu hóa.
#Hacker Gói được bán bao gồm 750 MB dữ liệu bao gồm ~10.000 hồ sơ người dùng, 4.111 bình luận, 48.536 thị trường từ Gamma API, và hơn 250.000 thị trường hoạt động từ CLOB API. Cũng bao gồm proof-of-concept exploit cho một số lỗ hổng kỹ thuật, bao gồm: Axios proxy bypass (CVE-2025-62718), cấu hình sai CORS ở CLOB API, bỏ qua xác thực middleware Next.js, và lỗ hổng phân trang.
Các Chuyên Gia An Ninh
Vladimir S, Giám đốc An ninh tại Legalblock, cho biết dữ liệu này có vẻ như là dữ liệu công khai đã được phân tích và đóng gói lại như một vụ rò rỉ cơ sở dữ liệu, không phải là một vụ xâm nhập thực sự.
#PolymarketDeniesDataBreach
$ETH