去中心化預測平臺 Polymarket 近日成為爭議焦點。此前,暗網論壇 X 上的“暗網線人” (暗網 Informer)賬號發佈消息稱,該平臺遭到黑客攻擊,超過 30 萬條數據記錄被洩露至網絡犯罪論壇。Polymarket 迅速否認了這些指控,認為所有相關數據都是區塊鏈上的公開信息。
來自暗網線人的指控
根據暗網 Informer 發佈的信息,攻擊者聲稱於 2026 年 4 月 27 日通過多種技術手段入侵了 Polymarket,包括:挖礦未記錄的 API 端點、繞過分頁以及利用 CORS(跨域資源共享)配置錯誤漏洞。
據稱,此次數據洩露包括:約 10,000 個個人身份信息 (PII)、41,000 條評論、485,000 條市場元數據、250,000 個活躍的 CLOB 市場,以及 292 個事件提議者和結算者的錢包地址。
更令人擔憂的是,攻擊者還公佈了多個漏洞的概念性挖礦代碼,其中包括CVSS評分為9.9(極高危)的CVE-2025-62718、CVSS評分為7.5的CVE-2024-51479以及一個CORS配置缺陷。攻擊者還指出,Polymarket沒有漏洞賞金計劃,並且事先並未收到這些漏洞的通知。
Polymarket:“這是個特點,不是缺陷。”
Polymarket迅速回應了X事件,徹底否認了數據洩露的指控。該平臺強調,所有鏈上數據均可公開驗證,這是去中心化區塊鏈的核心特性,而非安全漏洞。用戶可以通過公共API免費訪問鏈上數據,無需支付任何費用。
“公共數據”和“實際數據洩露”之間的界限變得模糊不清。
此次事件在DeFi生態系統中引發了一個關鍵問題:訪問和聚合鏈上數據何時會演變成挖礦?儘管Polymarket點擊透明度是區塊鏈的優勢,但據稱洩露的數據列表中包含1萬條個人身份信息記錄,這令人擔憂,因為個人身份信息通常不會存儲在鏈上,也不應該被隨意訪問。
