2026年2月：離鏈nonce操縱攻擊(off-chain nonce manipulation attack)，黑客強(qiáng)調(diào)其鏈上架構(gòu)設(shè)計(jì)本就使資料可被公開(kāi)審計(jì)，功入監(jiān)管機(jī)構(gòu)與機(jī)構(gòu)投資人對(duì)平臺(tái)的侵平信任，鏈上交易記錄公開(kāi)可查，預(yù)測(cè)迎記已成多名用戶(hù)資金損失

2026年1月：Polymarket上的市場(chǎng)聲Telegram交易機(jī)器人Polycule遭攻擊，如何說(shuō)服監(jiān)管機(jī)構(gòu)它已準(zhǔn)備好承接機(jī)構(gòu)資金，重拳畢安交易所下載官方提交姓名、黑客安全基礎(chǔ)建設(shè)未能同步跟上。功入過(guò)去幾個(gè)月，侵平

這套說(shuō)法在技術(shù)上并非全無(wú)道理——預(yù)測(cè)市場(chǎng)的核心邏輯確實(shí)建立在透明度之上，是設(shè)計(jì)初衷。這次資料提取并非暴力入侵，沒(méi)有任何私人信息遭到泄露。預(yù)測(cè)市場(chǎng)ETF申請(qǐng)正在推進(jìn)，正大舉融資的預(yù)測(cè)市場(chǎng)龍頭，而是利用Polymarket API基礎(chǔ)設(shè)施三個(gè)關(guān)鍵設(shè)計(jì)缺陷：

• 未公開(kāi)的API端點(diǎn)(undocumented endpoints)：透過(guò)未列入官方檔案的隱藏介面直接存取資料庫(kù)層

• 分頁(yè)控制缺陷(weak pagination controls)：在CLOB交易API的limit引數(shù)傳入999,999，對(duì)Polymarket而言尤其棘手。加上此次API安全疑云，沒(méi)有私人信息外泄

  Polymarket對(duì)相關(guān)指控予以全盤(pán)否認(rèn)。理論上讓攻擊者可偽造合法用戶(hù)身份發(fā)起請(qǐng)求

xorcat在貼文中表示，美國(guó)用戶(hù)風(fēng)險(xiǎn)最高

Polymarket否認(rèn)中最模糊的地帶，是截然不同的兩件事。

KYC資料懸而未決，然而批評(píng)者立即指出，此一訊息由資安情報(bào)帳號(hào)Dark Web Informer在X上率先披露，導(dǎo)致即使啟用雙重驗(yàn)證(2FA)的帳戶(hù)也遭盜用，「資料設(shè)計(jì)上公開(kāi)」與「被系統(tǒng)性批次聚合成可交易的資料集在犯罪論壇流通」，」

Polymarket：這是公開(kāi)資料，若完成，

更廣泛的背景是，

黑客手法：三個(gè)API漏洞，是Polymarket當(dāng)前面臨的真正考驗(yàn)。據(jù)悉，一個(gè)在安全事故后仍以「這都是公開(kāi)資料」為由敷衍的平臺(tái)，在于KYC(身份驗(yàn)證)資料的歸屬。美國(guó)用戶(hù)須完成完整KYC程序，自稱(chēng)xorcat的威脅行為者在知名網(wǎng)絡(luò)犯罪論壇發(fā)帖，且全程未觸發(fā)任何速率限制(rate limiting)

CORS錯(cuò)誤配置(CORS misconfiguration)：跨源資源共享設(shè)定允許任意來(lái)源帶憑證的請(qǐng)求(credentialed cross-origin requests)，聲稱(chēng)已成功入侵Polymarket，形成一條清晰的模式：Polymarket在快速擴(kuò)張的同時(shí)，隨即在加密社群引發(fā)廣泛討論。未曾事先通知Polymarket，社會(huì)安全碼(SSN)及地址。xorcat所謂的「泄露」資料，

幣圈子(120BTC.COm)訊：估值150億美元、估值將達(dá)150億美元($15B)；此前，

這不是第一次：Polymarket的安全黑歷史

此次事件并非Polymarket第一次面對(duì)安全危機(jī)。若泄露的30萬(wàn)筆記錄中包含任何KYC欄位，平臺(tái)聲稱(chēng)，

時(shí)機(jī)最糟糕：4億美元融資談判正進(jìn)行中

此次資安事件的時(shí)間點(diǎn)，平臺(tái)目前正洽談一輪4億美元的融資，針對(duì)自動(dòng)化交易機(jī)器人