Polymarket 遭駭客 xorcat 入侵，30 萬筆記錄、漏洞工具全曝光，平台回應：本來就設計公開

預測市場龍頭 Polymarket 正在洽談 4 億美元融資、估值衝 150 億美元之際，威脅行為者 xorcat 於 4 月 27 日在網路犯罪論壇公開超過 30 萬筆用戶記錄，並附上完整漏洞利用工具包，聲稱透過 API 分頁繞過與 CORS 錯誤配置大規模提取資料。Polymarket 否認遭駭，稱所有資料「設計上本就公開可存取」——但這份否認，恐怕難以平息外界對 KYC 資料安全與預測市場監管信任的疑慮。 （前情提要：Polymarket 洽談 4 億美元融資、估值衝 150 億：ICE 上月剛砸 6 億，預測市場進入華爾街狂熱期） （背景補充：Polymarket 的「上帝之手」：預測爭議頻發，「中心化」困境下的裁決權黑盒）   估值 150 億美元、正大舉融資的預測市場龍頭，在最敏感的時刻迎來一記重拳。 2026 年 4 月 27 日，自稱 xorcat 的威脅行為者在知名網路犯罪論壇發帖，聲稱已成功入侵 Polymarket，並公開超過 30 萬筆（300,000+）用戶記錄，連同一套完整的漏洞利用工具包（exploit kit）及可實際執行的概念驗證指令碼（PoC scripts）。此一訊息由資安情報帳號 Dark Web Informer 在 X 上率先披露，隨即在加密社群引發廣泛討論。 Polymarket, the decentralized prediction market platform, has allegedly been breached, with 300,000+ records and an exploit kit leaked on a popular cybercrime forum. The actor states Polymarket has no bug bounty program and was not notified.⠀‣ Threat Actor: xorcat‣… pic.twitter.com/UAmCL46pk3 — Dark Web Informer (@DarkWebInformer) April 28, 2026 駭客手法：三個 API 漏洞，批次提取 30 萬筆記錄 根據 xorcat 的論壇貼文，這次資料提取並非暴力入侵，而是利用 Polymarket API 基礎設施三個關鍵設計缺陷： 未公開的 API 端點（undocumented endpoints）：透過未列入官方檔案的隱藏介面直接存取資料庫層 分頁控制缺陷（weak pagination controls）：在 CLOB 交易 API 的 limit 引數傳入 999,999，繞過應有的查詢上限，一次性批次提取所有記錄，且全程未觸發任何速率限制（rate limiting） CORS 錯誤配置（CORS misconfiguration）：跨源資源共享設定允許任意來源帶憑證的請求（credentialed cross-origin requests），理論上讓攻擊者可偽造合法用戶身份發起請求 xorcat 在貼文中表示，未曾事先通知 Polymarket，原因直白：「平台沒有漏洞獎勵計畫（bug bounty program）。」 Polymarket：這是公開資料，沒有私人資訊外洩 Polymarket 對相關指控予以全盤否認。平台聲稱，xorcat 所謂的「洩露」資料，本質上是「公開可存取的鏈上與 API 資料」（publicly accessible on-chain and API data），強調其鏈上架構設計本就使資料可被公開審計，並可透過公開端點自由取得，沒有任何私人資訊遭到洩露。 這套說法在技術上並非全無道理——預測市場的核心邏輯確實建立在透明度之上，鏈上交易記錄公開可查，是設計初衷。然而批評者立即指出，「資料設計上公開」與「被系統性批次聚合成可交易的資料集在犯罪論壇流通」，是截然不同的兩件事。CORS 錯誤配置允許帶憑證的跨域請求，也絕非「正常公開設計」的一部分。 KYC 資料懸而未決，美國用戶風險最高 Polymarket 否認中最模糊的地帶，在於 KYC（身份驗證）資料的歸屬。自 Polymarket 獲 CFTC 核准以「指定合約市場」身分重返美國後，美國用戶須完成完整 KYC 程式，提交姓名、社會安全碼（SSN）及地址。若洩露的 30 萬筆記錄中包含任何 KYC 欄位，其嚴重程度將遠超平台輕描淡寫的「公開資料」定義。 目前 Polymarket 並未就 KYC 資料是否在洩露範圍內提供明確說明。 這不是第一次：Polymarket 的安全黑歷史 此次事件並非 Polymarket 第一次面對安全危機。過去幾個月，平台已累積三起重大事故： 2025 年 12 月：第三方身份驗證漏洞（third-party authentication breach），導致即使啟用雙重驗證（2FA）的帳戶也遭盜用，多名用戶資金損失 2026 年 1 月：Polymarket 上的 Telegram 交易機器人 Polycule 遭攻擊，損失 23 萬美元（$230K） 2026 年 2 月：離鏈 nonce 操縱攻擊（off-chain nonce manipulation attack），針對自動化交易機器人 三個月三起事故，加上此次 API 安全疑雲，形成一條清晰的模式：Polymarket 在快速擴張的同時，安全基礎建設未能同步跟上。 時機最糟糕：4 億美元融資談判正進行中 此次資安事件的時間點，對 Polymarket 而言尤其棘手。據悉，平台目前正洽談一輪 4 億美元的融資，若完成，估值將達 150 億美元（$15B）；此前，紐交所母公司洲際交易所（ICE）已斥資 6 億美元入股，顯示華爾街對預測市場的高度興趣。 更廣泛的背景是，預測市場 ETF 申請正在推進，監管機構與機構投資人對平台的信任，是整個賽道能否進入主流市場的關鍵前提。...