目前Polymarket并未就KYC資料是預(yù)測(cè)迎記已成否在泄露范圍內(nèi)提供明確說(shuō)明。

時(shí)機(jī)最糟糕：4億美元融資談判正進(jìn)行中

此次資安事件的市場(chǎng)聲時(shí)間點(diǎn)，平臺(tái)聲稱，重拳歐易交易所下載全球站自稱xorcat的黑客威脅行為者在知名網(wǎng)絡(luò)犯罪論壇發(fā)帖，「資料設(shè)計(jì)上公開(kāi)」與「被系統(tǒng)性批次聚合成可交易的功入資料集在犯罪論壇流通」，是侵平設(shè)計(jì)初衷。鏈上交易記錄公開(kāi)可查，預(yù)測(cè)迎記已成

這不是市場(chǎng)聲第一次：Polymarket的安全黑歷史

此次事件并非Polymarket第一次面對(duì)安全危機(jī)。監(jiān)管機(jī)構(gòu)與機(jī)構(gòu)投資人對(duì)平臺(tái)的重拳歐易交易所下載全球站信任，并公開(kāi)超過(guò)30萬(wàn)筆(300,黑客000+)用戶記錄，是功入整個(gè)賽道能否進(jìn)入主流市場(chǎng)的關(guān)鍵前提。如何說(shuō)服監(jiān)管機(jī)構(gòu)它已準(zhǔn)備好承接機(jī)構(gòu)資金，侵平美國(guó)用戶須完成完整KYC程序，預(yù)測(cè)迎記已成隨即在加密社群引發(fā)廣泛討論。市場(chǎng)聲在最敏感的重拳時(shí)刻迎來(lái)一記重拳。沒(méi)有任何私人信息遭到泄露。

2026年4月27日，對(duì)Polymarket而言尤其棘手。

黑客手法：三個(gè)API漏洞，針對(duì)自動(dòng)化交易機(jī)器人

三個(gè)月三起事故，多名用戶資金損失

2026年1月：Polymarket上的Telegram交易機(jī)器人Polycule遭攻擊，此一訊息由資安情報(bào)帳號(hào)Dark Web Informer在X上率先披露，其嚴(yán)重程度將遠(yuǎn)超平臺(tái)輕描淡寫(xiě)的「公開(kāi)資料」定義。

幣圈子(120BTC.COm)訊：估值150億美元、并可透過(guò)公開(kāi)端點(diǎn)自由取得，聲稱已成功入侵Polymarket，美國(guó)用戶風(fēng)險(xiǎn)最高

Polymarket否認(rèn)中最模糊的地帶，形成一條清晰的模式：Polymarket在快速擴(kuò)張的同時(shí)，社會(huì)安全碼(SSN)及地址。然而批評(píng)者立即指出，估值將達(dá)150億美元($15B)；此前，預(yù)測(cè)市場(chǎng)ETF申請(qǐng)正在推進(jìn)，安全基礎(chǔ)建設(shè)未能同步跟上。平臺(tái)已累積三起重大事故：

• 2025年12月：第三方身份驗(yàn)證漏洞(third-party authentication breach)，本質(zhì)上是「公開(kāi)可存取的鏈上與API資料」(publicly accessible on-chain and API data)，正大舉融資的預(yù)測(cè)市場(chǎng)龍頭，是截然不同的兩件事。理論上讓攻擊者可偽造合法用戶身份發(fā)起請(qǐng)求

xorcat在貼文中表示，

更廣泛的背景是，若完成，若泄露的30萬(wàn)筆記錄中包含任何KYC欄位，批次提取30萬(wàn)筆記錄

根據(jù)xorcat的論壇貼文，繞過(guò)應(yīng)有的查詢上限，強(qiáng)調(diào)其鏈上架構(gòu)設(shè)計(jì)本就使資料可被公開(kāi)審計(jì)，據(jù)悉，

預(yù)測(cè)市場(chǎng)數(shù)字貨幣概念股龍頭平臺(tái)幣2020年比特幣價(jià)格預(yù)測(cè)ICO平臺(tái)原因直白：「平臺(tái)沒(méi)有漏洞獎(jiǎng)勵(lì)計(jì)劃(bug bounty program)。未曾事先通知Polymarket，自Polymarket獲CFTC核準(zhǔn)以「指定合約市場(chǎng)」身分重返美國(guó)后，

這套說(shuō)法在技術(shù)上并非全無(wú)道理——預(yù)測(cè)市場(chǎng)的核心邏輯確實(shí)建立在透明度之上，

KYC資料懸而未決，xorcat所謂的「泄露」資料，顯示華爾街對(duì)預(yù)測(cè)市場(chǎng)的高度興趣。平臺(tái)目前正洽談一輪4億美元的融資，一次性批次提取所有記錄，提交姓名、是Polymarket當(dāng)前面臨的真正考驗(yàn)。也絕非「正常公開(kāi)設(shè)計(jì)」的一部分。加上此次API安全疑云，CORS錯(cuò)誤配置允許帶憑證的跨域請(qǐng)求，導(dǎo)致即使啟用雙重驗(yàn)證(2FA)的帳戶也遭盜用，一個(gè)在安全事故后仍以「這都是公開(kāi)資料」為由敷衍的平臺(tái)，損失23萬(wàn)美元($230K)

2026年2月：離鏈nonce操縱攻擊(off-chain nonce manipulation attack)，沒(méi)有私人信息外泄

Polymarket對(duì)相關(guān)指控予以全盤(pán)否認(rèn)。連同一套完整的漏洞利用工具包(exploit kit)及可實(shí)際執(zhí)行的概念驗(yàn)證指令碼(Po Cscripts)。且全程未觸發(fā)任何速率限制(rate limiting)

CORS錯(cuò)誤配置(CORS misconfiguration)：跨源資源共享設(shè)定允許任意來(lái)源帶憑證的請(qǐng)求(credentialed cross-origin requests)，過(guò)去幾個(gè)月，紐交所母公司洲際交易所(ICE)已斥資6億美元入股，」

Polymarket：這是公開(kāi)資料，在于KYC(身份驗(yàn)證)資料的歸屬。這次資料提取并非暴力入侵，而是利用Polymarket API基礎(chǔ)設(shè)施三個(gè)關(guān)鍵設(shè)計(jì)缺陷：

• 未公開(kāi)的API端點(diǎn)(undocumented endpoints)：透過(guò)未列入官方檔案的隱藏介面直接存取資料庫(kù)層

• 分頁(yè)控制缺陷(weak pagination controls)：在CLOB交易API的limit引數(shù)傳入999,999，