Polymarket 驳回暗网卖家关于数据泄露的“无稽之谈”指控

Polymarket驳斥了暗网卖家关于大规模数据泄露的指控，称这些报道“纯属胡说”。使用“xorcat”这一账号的威胁行为者声称已泄露一个数据库，影响超过300K条记录以及一个漏洞利用工具包，其中大约包含1GB的记录(，包括姓名、化名以及钱包地址)。

这名攻击者声称自己在一个热门网络犯罪论坛上泄露了Polymarket的数据，并解释说，这些数据是通过未公开的API端点、分页绕过以及Polymarket的Gamma和CLOB API中的CORS配置错误提取出来的。该打包文件还包括一个自动转储脚本，以及针对多个CVE的可运行POC。

具体而言，拉取的数据包括10,000个具有完整个人身份信息的唯一用户档案(（姓名、化名、个人简介、个人头像、代理钱包和基础地址)），以及超过4,111条附带档案对象的评论。

攻击者还提供了概念验证脚本，并声称数据中包含1,000条报告记录，其中包含58个唯一的ETH地址以及一个admin_auth_addr指示器；此外还包括超过48,000个拥有完整元数据、条件ID和代币ID的Gamma市场。

另外，还有超过250,000个活跃的CLOB市场，带有FPMM地址，以及超过292个事件，包含提交者/解析者的ETH地址和内部用户名。此次泄露还包括100个奖励配置，包含USDC合约地址和每日费率；还有9,000个关注者档案(，其中包括姓名、化名和代理钱包)；并在createdBy/updatedBy字段中暴露了内部用户ID。

Polymarket数据泄露构成国家安全威胁

Polymarket正处于一场重大的诚信丑闻中心，这场丑闻涉及一种不同类型的泄露——与国家安全地位相关的泄露。美国司法部（DOJ）和美国商品期货交易委员会（CFTC）将此次泄露作为近期的主要例证，说明为何预测市场需要更严格的监管。他们认为，这类市场可能会为牟利而助长机密情报的泄露。这会让交易者——包括高调的政治人物——面临有针对性的钓鱼或骚扰。

这些说法延续了过去6个月里已经被证实的网络安全失败模式，令用户信心受到冲击。2026年2月，攻击者在API/机器人操控事件中利用了Polymarket订单系统中的设计缺陷，并通过制造“nonces（随机数）”来取消链上交易，同时保持链下记录仍然有效。结果是，机器人基于错误的API报告造成了巨额损失。

Polymarket还在2025年12月确认了另一起第三方身份验证漏洞。该漏洞被指与第三方登录工具(（据报道是Magic Labs)）存在漏洞有关，使攻击者即使在账户启用了2FA（双重身份验证）的情况下，也仍能抽走资金。2025年11月针对Polymarket评论区的另一轮钓鱼攻击，导致用户损失超过$500,000。

随着预测市场规模增长，监管机构转向主动禁令

随着预测市场的规模不断扩大，监管机构正从被动观察转向主动禁令。2026年4月，巴西政府封锁了27个平台(（包括Kalshi和Polymarket)），理由是担忧家庭债务以及消费者保护。

罗马尼亚和葡萄牙的相关机构也在近期封锁了特定的政治合同，以防止在选举上进行投机性下注。

与此同时，Polymarket自2026年3月起采取了更严格的内部规则。新规则明确禁止基于被盗信息或“内部”掌握的地缘政治事件知识进行交易。Polymarket还与美国全国期货协会National Futures Association (NFA)签署了监管服务协议，以实施实时监控。这一举措传递出向主流金融合规转变的信号。

监管机构也对高调交易进行了密切审查，例如在2026年1月官方消息尚未公布之前，关于Nicolás Maduro被捕的$32,000下注，最终在公开消息出现前获得了$436,000的利润。此后，白宫以及多个机构已警告不要基于与地缘政治冲突相关的非公开信息进行交易，例如美伊战争。

另一方面，Bernstein分析师Gautam Chhugani预计，联邦层面监管的进一步明晰将推动预测市场增长。他估计，到2026年，预测市场的总交易量将达到$240 十亿(+370%（较去年增长)）。

Chhugani还预测，到下一个十年开始时，预测市场的交易量将达到$1 万亿；而2025年至2030年期间的复合年增长率约为80%。所交易合约的构成也可能发生变化。

如果你正在阅读这篇内容，你已经领先了。请继续坚持，通过我们的新闻简报保持领先。