Polymarket 遭駭客 xorcat 入侵，30 萬筆記錄、漏洞工具全曝光，平台回應：本來就設計公開

預測市場龍頭 Polymarket 正在洽談 4 億美元融資、估值衝 150 億美元之際，威脅行為者 xorcat 於 4 月 27 日在網路犯罪論壇公開超過 30 萬筆用戶記錄，並附上完整漏洞利用工具包，聲稱透過 API 分頁繞過與 CORS 錯誤配置大規模提取資料。Polymarket 否認遭駭，稱所有資料「設計上本就公開可存取」——但這份否認，恐怕難以平息外界對 KYC 資料安全與預測市場監管信任的疑慮。
（前情提要：Polymarket 洽談 4 億美元融資、估值衝 150 億：ICE 上月剛砸 6 億，預測市場進入華爾街狂熱期）
（背景補充：Polymarket 的「上帝之手」：預測爭議頻發，「中心化」困境下的裁決權黑盒）

估值 150 億美元、正大舉融資的預測市場龍頭，在最敏感的時刻迎來一記重拳。

2026 年 4 月 27 日，自稱 xorcat 的威脅行為者在知名網路犯罪論壇發帖，聲稱已成功入侵 Polymarket，並公開超過 30 萬筆（300,000+）用戶記錄，連同一套完整的漏洞利用工具包（exploit kit）及可實際執行的概念驗證指令碼（PoC scripts）。此一訊息由資安情報帳號 Dark Web Informer 在 X 上率先披露，隨即在加密社群引發廣泛討論。

駭客手法：三個 API 漏洞，批次提取 30 萬筆記錄

根據 xorcat 的論壇貼文，這次資料提取並非暴力入侵，而是利用 Polymarket API 基礎設施三個關鍵設計缺陷：

未公開的 API 端點（undocumented endpoints）：透過未列入官方檔案的隱藏介面直接存取資料庫層
分頁控制缺陷（weak pagination controls）：在 CLOB 交易 API 的 limit 引數傳入 999,999，繞過應有的查詢上限，一次性批次提取所有記錄，且全程未觸發任何速率限制（rate limiting）
CORS 錯誤配置（CORS misconfiguration）：跨源資源共享設定允許任意來源帶憑證的請求（credentialed cross-origin requests），理論上讓攻擊者可偽造合法用戶身份發起請求

xorcat 在貼文中表示，未曾事先通知 Polymarket，原因直白：「平台沒有漏洞獎勵計畫（bug bounty program）。」

Polymarket：這是公開資料，沒有私人資訊外洩

Polymarket 對相關指控予以全盤否認。平台聲稱，xorcat 所謂的「洩露」資料，本質上是「公開可存取的鏈上與 API 資料」（publicly accessible on-chain and API data），強調其鏈上架構設計本就使資料可被公開審計，並可透過公開端點自由取得，沒有任何私人資訊遭到洩露。

這套說法在技術上並非全無道理——預測市場的核心邏輯確實建立在透明度之上，鏈上交易記錄公開可查，是設計初衷。然而批評者立即指出，「資料設計上公開」與「被系統性批次聚合成可交易的資料集在犯罪論壇流通」，是截然不同的兩件事。CORS 錯誤配置允許帶憑證的跨域請求，也絕非「正常公開設計」的一部分。

KYC 資料懸而未決，美國用戶風險最高

Polymarket 否認中最模糊的地帶，在於 KYC（身份驗證）資料的歸屬。自 Polymarket 獲 CFTC 核准以「指定合約市場」身分重返美國後，美國用戶須完成完整 KYC 程式，提交姓名、社會安全碼（SSN）及地址。若洩露的 30 萬筆記錄中包含任何 KYC 欄位，其嚴重程度將遠超平台輕描淡寫的「公開資料」定義。

目前 Polymarket 並未就 KYC 資料是否在洩露範圍內提供明確說明。

這不是第一次：Polymarket 的安全黑歷史

此次事件並非 Polymarket 第一次面對安全危機。過去幾個月，平台已累積三起重大事故：

2025 年 12 月：第三方身份驗證漏洞（third-party authentication breach），導致即使啟用雙重驗證（2FA）的帳戶也遭盜用，多名用戶資金損失
2026 年 1 月：Polymarket 上的 Telegram 交易機器人 Polycule 遭攻擊，損失 23 萬美元（$230K）
2026 年 2 月：離鏈 nonce 操縱攻擊（off-chain nonce manipulation attack），針對自動化交易機器人

三個月三起事故，加上此次 API 安全疑雲，形成一條清晰的模式：Polymarket 在快速擴張的同時，安全基礎建設未能同步跟上。