Akaun intelian ancaman blockchain, Dark Web Informer, mengungkapkan perkara ini keesokan harinya di X. Polymarket memberi respons pada hari yang sama, menyatakan bahawa data yang terlibat "sudah boleh diakses melalui API awam" dan menggolongkan insiden ini sebagai "fungsi" bukan kebocoran. Namun, penyataan rasmi tidak secara langsung menangani butiran konfigurasi API yang salah dan eksploitasi lubang keamanan yang disenaraikan oleh perompak.
Pada 27 April, seorang penyerang yang menggunakan nama samaran "xorcat" memuat naik satu fail mampat ke forum kejahatan siber: fail JSON sebesar 8.3MB yang, apabila dibuka, mencapai sekitar 750MB, mengandungi lebih daripada 300,000 rekod yang diekstrak daripada Polymarket, lima skrip eksploitasi yang berfungsi (PoC), dan satu laporan teknikal.
Polymarket memberi respons pada hari itu. Namun, respons bukan permintaan maaf atau pemeriksaan seperti biasa dalam公关 krisis, tetapi satu sanggahan yang hampir menantang. Akaun rasmi platform itu memposting di X, menggurau bahawa semua kandungan berkaitan boleh diakses melalui endpoint awam dan data rantai, dan menggolongkannya sebagai "fungsi, bukan kelemahan".
Peristiwa ini berubah menjadi rohomon: pihak perompak bersikeras bahawa ini adalah serangan data yang dikeluarkan tanpa pemberitahuan, dan secara khusus menunjuk kepada beberapa konfigurasi API yang salah; pihak platform bersikeras bahawa semua kandungan adalah data awam, dan tiada maklumat peribadi telah bocor.
Laluan serangan: "Sekumpulan pintu yang tidak dikunci"
Menurut penerangan dalam post forum xorcat, serangan tersebut tidak bergantung pada sebarang kelemahan kompleks tunggal, tetapi lebih seperti melalui satu siri pintu yang tidak dikunci. Menurut ulasan oleh media keselamatan siber The CyberSec Guru, serangan tersebut terutamanya memanfaatkan tiga jenis masalah: endpoint API yang tidak diumumkan, pengelakan halaman dalam API perdagangan CLOB (Central Limit Order Book), dan satu konfigurasi CORS (Cross-Origin Resource Sharing) yang salah.
Laporan awam menunjukkan bahawa beberapa titik akhir Polymarket dikatakan tidak memerlukan pengesahan identiti sama sekali. Sebagai contoh, titik akhir komen menyokong serangan penghujaman untuk mengambil keseluruhan profil pengguna; titik akhir laporan mendedahkan data aktiviti pengguna; titik akhir peminat membenarkan sesiapa sahaja untuk menggambarkan gambaran hubungan sosial penuh alamat dompet apa sahaja tanpa perlu log masuk.
Apa yang sebenarnya tersimpan dalam lebih daripada 300,000 rekod
Post forum xorcat serta rekap dari The CyberSec Guru dan The Crypto Times menunjukkan bahawa pakej bocor diorganisasi secara besar-besaran mengikut kategori pengguna, pasaran, dan alat serangan (lihat kad data di bawah).
10,000 profil pengguna mandiri di sisi pengguna mengandungi nama, nama panggilan, pernyataan peribadi, gambar profil, alamat dompet agen, dan alamat dompet asas. 9,000 profil pengikut mampu menggambarkan rangkaian sosial. 4,111 data ulasan semuanya dilengkapi dengan profil pengguna yang berkaitan. 1,000 rekod laporan melibatkan 58 alamat Ethereum yang berbeza. Medan ID pengguna dalaman seperti createdBy dan updatedBy juga tersebar di pelbagai tempat, secara tidak langsung memulihkan sebahagian struktur akaun platform.
Pasar mencakup 48,536 pasaran dari sistem Polymarket Gamma (dengan metadata lengkap, ID syarat, ID token), lebih daripada 250,000 pasaran CLOB aktif (dengan alamat kontrak FPMM), 292 peristiwa dengan nama pengguna dan alamat dompet dalaman pemberi dan penentu keputusan, serta 100 konfigurasi hadiah dengan alamat kontrak USDC dan kadar pembayaran harian.
Alamat dompet secara asli bersifat anonim di rantai, tetapi apabila ia muncul bersama nama, profil peribadi, dan gambar profil, anonimiti akan runtuh. Ini adalah perdebatan utama yang tidak disentuh oleh respons Polymarket kali ini:
Whether data is "public" and whether user identities can still be protected after data aggregation are two different issues.
"Ini adalah fungsi, bukan kelemahan": Sanggahan Polymarket
Tanggapan Polymarket pada 28 April di X hanya terdiri daripada satu tweet. Platform ini bermula dengan emoji 「😂», mempertikaikan perkataan 「dibajak», kemudian membantah satu per satu: data blockchain memang boleh diaudit secara terbuka, tiada data yang 「dibocorkan」, maklumat yang sama sebenarnya sudah boleh diperoleh secara percuma melalui API awam, tanpa perlu membayar. Keseluruhan pernyataan diakhiri dengan menyatakan: «Ini adalah fungsi, bukan kelemahan».
The Crypto Times melaporkan bahawa respons Polymarket tidak secara langsung menangani tuntutan teknikal spesifik yang diajukan oleh perompak, termasuk konfigurasi API yang salah, konfigurasi CORS yang salah, endpoint yang tidak diumumkan, dan penghentian kadar yang hilang. Platform tersebut menyerang dengan kuat pada tahap paling mudah untuk membantah—“data sama ada awam”—tetapi tetap diam mengenai isu keselamatan yang lebih penting: “penyerang mengekstrak dan mengemas semula secara berjumlah melalui laluan yang tidak dijangka”.
Xorcat juga menyatakan bahawa mereka tidak memberitahu Polymarket terlebih dahulu, kerana platform tersebut tidak mempunyai program ganjaran kerentanan. Perkara ini belum disahkan oleh pihak ketiga, tetapi jika benar, ia menunjukkan kekurangan tertentu dalam tata kelola keselamatan proaktif Polymarket: tiada saluran pelaporan bertanggungjawab yang rasmi, menjadikan penyerang cenderung untuk mengumumkan secara terbuka daripada melaporkan secara dalaman.
Ini bukan kali pertama Polymarket menghadapi masalah keselamatan
Kembali kepada garis masa, Ogos hingga September 2024, beberapa pengguna yang log masuk ke Polymarket melalui akaun Google melaporkan bahawa USDC mereka telah dicuri, di mana penyerang memanfaatkan panggilan fungsi proxy dalam Magic Labs SDK untuk memindahkan saldo pengguna ke alamat phising. Polymarket Customer Service mengesahkan sekurang-kurangnya lima serangan serupa sebelum akhir September.
Pada November 2025, penjenayah cyber memanfaatkan ruang komen Polymarket untuk mempublikasikan pautan phising; apabila diklik, pautan tersebut memasang skrip jahat ke peranti pengguna, dengan aktiviti penipuan berkaitan menyebabkan kerugian melebihi USD500,000.
Pada Disember 2025, berlaku pencurian akaun secara besar-besaran sekali lagi. Polymarket mengesahkan insiden tersebut di Discord, menyalahkan “lubang keamanan dalam perkhidmatan pengesahan pihak ketiga”. Perbincangan di media sosial secara umum menunjuk kepada pengguna yang log masuk melalui e-mel Magic Labs, tetapi platform tidak secara terbuka menyebut nama perkhidmatan yang terlibat, mahupun mengungkapkan jumlah pengguna yang terkesan atau skala kerugian.
Selepas setiap insiden, platform sebelum ini telah memberikan respons yang berbeza-beza: ada yang menyalahkan penyedia perkhidmatan pihak ketiga, ada yang mengakui masalah dan berjanji untuk menghubungi pengguna yang terkesan. Insiden xorcat kali ini adalah yang pertama kali menggunakan "ini adalah data awam" sebagai pertahanan penuh. Dari segi sejarah, respons kali ini lebih seperti usaha untuk memperebutkan sifat insiden tersebut, berbanding tindakan respons insiden keselamatan biasa.
Pada masa penerbitan ini, Polymarket belum memberikan penjelasan pembaikan terhadap lubang keselamatan teknikal yang didedahkan oleh xorcat, dan skrip PoC di forum masih boleh dimuat turun oleh sesiapa sahaja.
Penulis: Claude, Deep潮 TechFlow