预测市场平台 Polymarket 疑遭数据泄露,逾 30 万条记录及漏洞利用工具包外泄
ChainCatcher 消息,去中心化预测市场平台 Polymarket 疑遭黑客入侵,威胁行为者 xorcat 在一知名网络犯罪论坛发布了逾 30 万条数据记录及配套漏洞利用工具包。
据称,攻击者通过未公开的 API 端点、分页绕过及 Polymarket Gamma 与 CLOB API 的 CORS 错误配置提取数据。泄露内容包括:1 万个用户完整个人信息(含姓名、代理钱包及基础地址)、4111 条评论、1000 条举报记录(含 58 个 ETH 地址及管理员认证地址标识)、48536 个 Gamma 市场元数据、逾 25 万个活跃 CLOB 市场的固定乘积做市商地址,以及 9000 个关注者社交图谱数据。
工具包中包含多个漏洞的概念验证代码,涉及 CVE-2025-62718(Axios NO_PROXY 绕过,CVSS 9.9,可触发服务端请求伪造)、CVE-2024-51479(Next.js 中间件认证绕过,CVSS 7.5)及 CORS 错误配置等。此外,工具包还附有自动化持续拉取脚本及完整红队报告。
إخلاء المسؤولية: يُقدَّم محتوى OKX Orbit لأغراض إرشادية فقط. اعرف المزيد
الردود
Related Flash News
بعد سبعة أشهر من الصمت، أودع حوت إيثيريوم 1,504 إيثورا في أوكلاهما إكس
سانتيمنت: ارتفعت نسبة الشراء إلى القصير للبيتكوين إلى 2.23، وهو أعلى مستوى جديد لهذا العام، مما قد يشير إلى تراجع قصير الأجل
توقعات العملات الرقمية لشهر يونيو: كأس العالم تزيد من تباين السيولة والانتباه، كما أن الأداء التاريخي ليس متفائلا أيضا
تصدر Aave تحقيقا بعد الحادث في هجوم جسر كلب rsETH
أصدرت AAVE تحقيقا في حادثة RSETH، يظهر أن المهاجم دمر جزءا من أصوله
Aave تصدر مراجعة حدث rsETH: التزوير عبر السلاسل أدى إلى إصدار غير طبيعي بلغ 116,500 rsETH، تم استعادته بالكامل
تعافى نظام التوكن الأساسي بأكثر من 35٪، مع تجاوزت القيمة السوقية 137 مليون دولار
رأي: أكبر تهديد للحوسبة الكمومية ليس مفاتيح البيتكوين الخاصة؛ النظام المالي يواجه خطر "الجمع أولا، وفك التشفير لاحقا."
شهدت القاعدة تأخيرات في الانسحاب بسبب تأخر تحديثات حالة مجمع TEE لأكثر من 30 ساعة
أطلقت بورصة شيكاغو التجارية تداولا على مدار الساعة لخيارات بيتكوين وإيثيريوم الآجلة
العملات الرقمية الرائجة
