Polymarket phủ nhận cáo buộc rò rỉ 300.000 bản ghi, cho biết dữ liệu API là công khai và có thể được kiểm toán

Theo một bài đăng trên X của Polymarket vào ngày 29 tháng 4, tài khoản an ninh mạng Dark Web Informer cáo buộc nền tảng thị trường dự đoán phi tập trung Polymarket bị xâm nhập; hơn 300.000 bản ghi và một bộ công cụ khai thác đã bị rò rỉ lên các diễn đàn tội phạm mạng; Polymarket ngay lập tức phủ nhận trên X, cho biết mọi dữ liệu on-chain đều công khai và có thể kiểm chứng.

Phản hồi chính thức của Polymarket

Theo thông báo được Polymarket đăng trên nền tảng X vào ngày 29 tháng 4 năm 2026, nền tảng cho biết mọi dữ liệu on-chain của họ đều công khai và có thể kiểm chứng; bất kỳ ai cũng có thể lấy miễn phí thông qua API công khai, không cần trả phí. Trong thông báo, Polymarket định tính điều này là “tính năng chứ không phải lỗi (a feature, not a bug)”.

Polymarket đồng thời chỉ ra rằng nền tảng có kế hoạch thưởng lỗ hổng trị giá 5 triệu đô la Mỹ, điều này mâu thuẫn với tuyên bố của kẻ tấn công rằng “Polymarket không có kế hoạch thưởng lỗ hổng”; và giải thích rõ ràng rằng hành vi tấn công các endpoint API công khai không đáp ứng điều kiện để nhận thưởng.

Nội dung cáo buộc của Dark Web Informer và chi tiết kỹ thuật

Theo bài đăng của Dark Web Informer trên nền tảng X vào ngày 29 tháng 4 năm 2026, kẻ tấn công “xorcat” tuyên bố đã trích xuất dữ liệu vào ngày 27 tháng 4 năm 2026 thông qua các endpoint không công khai, phân trang và cấu hình CORS sai trong các API Gamma và CLOB của Polymarket. Dữ liệu quy mô cáo buộc được Dark Web Informer tiết lộ như sau:

· Tổng cộng hơn 300.000 bản ghi; sau khi trích xuất khoảng 750 MB, sau khi nén khoảng 8,3 MB

· Khoảng 10.000 bản ghi người dùng duy nhất có đầy đủ thông tin nhận dạng cá nhân (PII), bao gồm tên, bí danh, ví proxy và địa chỉ cơ bản

· 48.536 bản ghi thị trường Gamma có đầy đủ siêu dữ liệu

· Hơn 250.000 bản ghi thị trường CLOB hoạt động có địa chỉ FPMM

Bài đăng của Dark Web Informer cũng liệt kê các lỗ hổng kỹ thuật mà kẻ tấn công tuyên bố, bao gồm CVE-2025-62718 (Bỏ qua Axios NO_PROXY, điểm CVSS 9,9), lỗi cấu hình CORS của CLOB API (nguồn ký tự đại diện kèm credentials=true), và nhiều endpoint API không yêu cầu xác thực.

Bối cảnh kế hoạch thưởng lỗ hổng của Polymarket

Theo trang chính thức về kế hoạch thưởng lỗ hổng của Polymarket, nền tảng có kế hoạch thưởng lỗ hổng trị giá 5 triệu đô la Mỹ; việc nhận báo cáo lỗ hổng thông qua nền tảng Spearbit/Cantina; kế hoạch bao gồm lỗ hổng trong smart contract và ứng dụng web; mức độ nghiêm trọng được chia thành bốn cấp: nghiêm trọng, cao, trung bình và thấp. Theo điều khoản của kế hoạch, hành vi tấn công các endpoint API công khai không nằm trong phạm vi đủ điều kiện nhận thưởng.

Câu hỏi thường gặp

Khi nào phát hành tuyên bố phủ nhận rò rỉ dữ liệu của Polymarket? Luận điểm cốt lõi là gì?

Theo tuyên bố của Polymarket trên nền tảng X vào ngày 29 tháng 4 năm 2026, nền tảng phủ nhận rò rỉ dữ liệu, cho biết mọi dữ liệu on-chain vốn dĩ là công khai và có thể kiểm chứng; có thể truy cập miễn phí thông qua API công khai; đồng thời nêu rằng hành vi tấn công các endpoint API công khai không đáp ứng điều kiện thưởng lỗ hổng.

Quy mô dữ liệu rò rỉ mà Dark Web Informer tuyên bố và ngày trích xuất dữ liệu là khi nào?

Theo bài đăng của Dark Web Informer trên nền tảng X vào ngày 29 tháng 4 năm 2026, kẻ tấn công tuyên bố đã trích xuất hơn 300.000 bản ghi vào ngày 27 tháng 4 năm 2026, bao gồm khoảng 10.000 bản ghi người dùng có đầy đủ thông tin nhận dạng cá nhân (PII) và hơn 250.000 bản ghi thị trường CLOB.

Quy mô kế hoạch thưởng lỗ hổng của Polymarket là bao nhiêu? Được quản lý bởi nền tảng nào?

Theo trang chính thức về kế hoạch thưởng lỗ hổng của Polymarket, quy mô kế hoạch là 5 triệu đô la Mỹ, tiếp nhận báo cáo lỗ hổng thông qua nền tảng Spearbit/Cantina; hành vi tấn công các endpoint API công khai không nằm trong phạm vi đủ điều kiện nhận thưởng.