Polymarket 疑似資料外洩：超過 30 萬筆記錄與漏洞利用工具包外洩

4月29日，有報導指出去中心化預測市場平台Polymarket可能遭到駭客攻擊，威脅行為者xorcat在一個知名的網路犯罪論壇上發布了超過30萬筆資料記錄和一個伴隨的漏洞利用工具包。
攻擊者據稱通過未公開的API端點、分頁繞過以及Polymarket Gamma和CLOB API中的CORS配置錯誤來提取資料。
泄露的內容包括：10,000名用戶的完整個人資訊（包括姓名、代理錢包和基本地址）、4,111條評論、1,000份報告（包括58個ETH地址和管理員認證地址標識符）、48,536份Gamma市場元數據、超過250,000個活躍的CLOB市場固定產品做市商地址，以及9,000個粉絲社交圖的資料。
該工具包包含多個漏洞的概念驗證代碼，包括CVE-2025-62718（Axios NO_PROXY繞過，CVSS 9.9，可觸發伺服器端請求伺服器端請求偽造）、CVE-2024-51479（Next.js中間件的認證繞過，CVSS 7.5）以及CORS配置錯誤。
此外，該工具包還包括自動化持續拉取腳本和完整的紅隊報告。