Polymarket疑似遭資料外洩，逾30萬條記錄及漏洞利用工具包外洩

4月29日消息，去中心化预测市场平台Polymarket疑遭黑客入侵，威胁行为者xorcat在一知名网络犯罪论坛发布了逾30万条数据记录及配套漏洞利用工具包。
據稱，攻擊者通過未公開的API端點、分頁繞過及Polymarket Gamma與CLOB API的CORS錯誤配置提取數據。泄露內容包括：1萬個用戶完整個人信息（含姓名、代理錢包及基礎地址）、4111條評論、1000條舉報記錄（含58個ETH地址及管理員認證地址標識）、48536個Gamma市場元數據、逾25萬個活躍CLOB市場的固定乘積做市商地址，以及9000個關注者社交圖譜數據。
工具包中包含多個漏洞的概念驗證代碼，涉及CVE-2025-62718（AxiosNO_PROXY繞過，CVSS 9.9，可觸發服務端請求伪造）、CVE-2024-51479（Next.js中間件認證繞過，CVSS 7.5）及CORS錯誤配置等。此外，工具包還附有自動化持續拉取腳本及完整紅隊報告。