去中心化预测平台 Polymarket 近日成为争议焦点。此前,暗网论坛 X 上的“暗网线人” (暗网 Informer)账号发布消息称,该平台遭到黑客攻击,超过 30 万条数据记录被泄露至网络犯罪论坛。Polymarket 迅速否认了这些指控,认为所有相关数据都是区块链上的公开信息。
来自暗网线人的指控
根据暗网 Informer 发布的信息,攻击者声称于 2026 年 4 月 27 日通过多种技术手段入侵了 Polymarket,包括:挖矿未记录的 API 端点、绕过分页以及利用 CORS(跨域资源共享)配置错误漏洞。
据称,此次数据泄露包括:约 10,000 个个人身份信息 (PII)、41,000 条评论、485,000 条市场元数据、250,000 个活跃的 CLOB 市场,以及 292 个事件提议者和结算者的钱包地址。
更令人担忧的是,攻击者还公布了多个漏洞的概念性挖矿代码,其中包括CVSS评分为9.9(极高危)的CVE-2025-62718、CVSS评分为7.5的CVE-2024-51479以及一个CORS配置缺陷。攻击者还指出,Polymarket没有漏洞赏金计划,并且事先并未收到这些漏洞的通知。
Polymarket:“这是个特点,不是缺陷。”
Polymarket迅速回应了X事件,彻底否认了数据泄露的指控。该平台强调,所有链上数据均可公开验证,这是去中心化区块链的核心特性,而非安全漏洞。用户可以通过公共API免费访问链上数据,无需支付任何费用。
“公共数据”和“实际数据泄露”之间的界限变得模糊不清。
此次事件在DeFi生态系统中引发了一个关键问题:访问和聚合链上数据何时会演变成挖矿?尽管Polymarket点击透明度是区块链的优势,但据称泄露的数据列表中包含1万条个人身份信息记录,这令人担忧,因为个人身份信息通常不会存储在链上,也不应该被随意访问。
