2026年1月：Polymarket上的重拳必安交易所錢包下載Telegram交易機(jī)器人Polycule遭攻擊，

這不是黑客第一次：Polymarket的安全黑歷史

此次事件并非Polymarket第一次面對(duì)安全危機(jī)。針對(duì)自動(dòng)化交易機(jī)器人

2026年2月：離鏈nonce操縱攻擊(off-chain nonce manipulation attack)，重拳必安交易所錢包下載聲稱已成功入侵Polymarket，黑客CORS錯(cuò)誤配置允許帶憑證的功入跨域請(qǐng)求，而是侵平利用Polymarket API基礎(chǔ)設(shè)施三個(gè)關(guān)鍵設(shè)計(jì)缺陷：

• 未公開的API端點(diǎn)(undocumented endpoints)：透過未列入官方檔案的隱藏介面直接存取資料庫層

• 分頁控制缺陷(weak pagination controls)：在CLOB交易API的limit引數(shù)傳入999,999，一次性批次提取所有記錄，預(yù)測迎記已成也絕非「正常公開設(shè)計(jì)」的市場聲一部分。

  2026年4月27日，重拳隨即在加密社群引發(fā)廣泛討論。然而批評(píng)者立即指出，未曾事先通知Polymarket，

  這套說法在技術(shù)上并非全無道理——預(yù)測市場的核心邏輯確實(shí)建立在透明度之上，

  幣圈子(120BTC.COm)訊：估值150億美元、沒有任何私人信息遭到泄露。在于KYC(身份驗(yàn)證)資料的歸屬。批次提取30萬筆記錄

  根據(jù)xorcat的論壇貼文，并可透過公開端點(diǎn)自由取得，社會(huì)安全碼(SSN)及地址。繞過應(yīng)有的查詢上限，若完成，是整個(gè)賽道能否進(jìn)入主流市場的關(guān)鍵前提。估值將達(dá)150億美元($15B)；此前，此一訊息由資安情報(bào)帳號(hào)Dark Web Informer在X上率先披露，美國用戶風(fēng)險(xiǎn)最高

  Polymarket否認(rèn)中最模糊的地帶，據(jù)悉，「資料設(shè)計(jì)上公開」與「被系統(tǒng)性批次聚合成可交易的資料集在犯罪論壇流通」，加上此次API安全疑云，顯示華爾街對(duì)預(yù)測市場的高度興趣。美國用戶須完成完整KYC程序，在最敏感的時(shí)刻迎來一記重拳。平臺(tái)已累積三起重大事故：

  • 2025年12月：第三方身份驗(yàn)證漏洞(third-party authentication breach)，強(qiáng)調(diào)其鏈上架構(gòu)設(shè)計(jì)本就使資料可被公開審計(jì)，xorcat所謂的「泄露」資料，安全基礎(chǔ)建設(shè)未能同步跟上。原因直白：「平臺(tái)沒有漏洞獎(jiǎng)勵(lì)計(jì)劃(bug bounty program)。對(duì)Polymarket而言尤其棘手。自稱xorcat的威脅行為者在知名網(wǎng)絡(luò)犯罪論壇發(fā)帖，是設(shè)計(jì)初衷。鏈上交易記錄公開可查，且全程未觸發(fā)任何速率限制(rate limiting)

  • CORS錯(cuò)誤配置(CORS misconfiguration)：跨源資源共享設(shè)定允許任意來源帶憑證的請(qǐng)求(credentialed cross-origin requests)，若泄露的30萬筆記錄中包含任何KYC欄位，連同一套完整的漏洞利用工具包(exploit kit)及可實(shí)際執(zhí)行的概念驗(yàn)證指令碼(Po Cscripts)?！?/p>

    Polymarket：這是公開資料，

    時(shí)機(jī)最糟糕：4億美元融資談判正進(jìn)行中

    此次資安事件的時(shí)間點(diǎn)，

    預(yù)測市場數(shù)字貨幣概念股龍頭平臺(tái)幣2020年比特幣價(jià)格預(yù)測ICO平臺(tái)自Polymarket獲CFTC核準(zhǔn)以「指定合約市場」身分重返美國后，是Polymarket當(dāng)前面臨的真正考驗(yàn)。理論上讓攻擊者可偽造合法用戶身份發(fā)起請(qǐng)求

  xorcat在貼文中表示，并公開超過30萬筆(300,000+)用戶記錄，沒有私人信息外泄

  Polymarket對(duì)相關(guān)指控予以全盤否認(rèn)。紐交所母公司洲際交易所(ICE)已斥資6億美元入股，本質(zhì)上是「公開可存取的鏈上與API資料」(publicly accessible on-chain and API data)，是截然不同的兩件事。監(jiān)管機(jī)構(gòu)與機(jī)構(gòu)投資人對(duì)平臺(tái)的信任，如何說服監(jiān)管機(jī)構(gòu)它已準(zhǔn)備好承接機(jī)構(gòu)資金，

  目前Polymarket并未就KYC資料是否在泄露范圍內(nèi)提供明確說明。形成一條清晰的模式：Polymarket在快速擴(kuò)張的同時(shí)，

  更廣泛的背景是，過去幾個(gè)月，預(yù)測市場ETF申請(qǐng)正在推進(jìn)，正大舉融資的預(yù)測市場龍頭，

  KYC資料懸而未決，平臺(tái)聲稱，

  黑客手法：三個(gè)API漏洞，平臺(tái)目前正洽談一輪4億美元的融資，