Polymarket เผชิญกับข้อถกเถียงด้านความปลอดภัยหลังจากมีการอ้างว่าข้อมูลผู้ใช้มากกว่า 300,000 รายถูกเปิดเผย

บัญชีข้อมูลภัยคุกคามบล็อกเชน Dark Web Informer เปิดเผยเรื่องนี้บน X ในวันถัดไป Polymarket ตอบกลับในวันเดียวกัน โดยระบุว่าข้อมูลที่เกี่ยวข้อง “สามารถเข้าถึงได้ผ่าน API สาธารณะ” และจัดประเภทเหตุการณ์นี้เป็น “ฟีเจอร์” แทนการรั่วไหล อย่างไรก็ตาม คำแถลงอย่างเป็นทางการไม่ได้ตอบสนองโดยตรงต่อรายละเอียดการตั้งค่า API ที่ผิดพลาดและการใช้ช่องโหว่ที่แฮกเกอร์ระบุไว้

วันที่ 27 เมษายน ผู้โจมตีที่ใช้นามแฝงว่า "xorcat" ได้อัปโหลดไฟล์บีบอัดลงในฟอรัมอาชญากรรมทางอินเทอร์เน็ตแห่งหนึ่ง: ไฟล์ JSON ขนาด 8.3 เมกะไบต์ ซึ่งเมื่อแตกไฟล์จะมีขนาดประมาณ 750 เมกะไบต์ ประกอบด้วยบันทึกกว่า 300,000 รายการที่ดึงมาจาก Polymarket รหัสการโจมตีที่ใช้งานได้ 5 ชุด (PoC) และรายงานทางเทคนิค

Polymarket ตอบกลับในวันเดียวกัน แต่การตอบกลับไม่ใช่การขอโทษหรือตรวจสอบปัญหาแบบทั่วไป แต่เป็นการโต้แย้งที่ดูเหมือนท้าทาย บัญชีทางการของแพลตฟอร์มโพสต์บน X ว่า ข้อมูลทั้งหมดสามารถเข้าถึงได้ผ่านจุดปลายเปิดและข้อมูลบนบล็อกเชน และจัดประเภทว่า “นี่คือฟีเจอร์ ไม่ใช่ช่องโหว่”

เหตุการณ์นี้จึงกลายเป็นเรื่องที่ขัดแย้งกัน: ฝั่งแฮกเกอร์ยืนยันว่านี่คือการโจมตีข้อมูลที่เปิดเผยโดยไม่มีการแจ้งล่วงหน้า และชี้เฉพาะจุดการตั้งค่า API ที่ผิดพลาด; ฝั่งแพลตฟอร์มยืนยันว่าข้อมูลทั้งหมดเป็นข้อมูลสาธารณะ และไม่มีข้อมูลส่วนตัวใดถูกรั่วไหล

ตามคำอธิบายของ xorcat ในโพสต์บนฟอรัม การโจมตีไม่ได้พึ่งพาช่องโหว่ที่ซับซ้อนใดๆ หนึ่งช่องโหว่ แต่คล้ายกับการผ่านประตูหลายบานที่ไม่ได้ล็อก ตามการวิเคราะห์ย้อนหลังของสื่อด้านความปลอดภัยทางไซเบอร์ The CyberSec Guru การโจมตีหลักใช้ประโยชน์จากปัญหาสามประเภท: จุดสิ้นสุด API ที่ไม่ได้เปิดเผย การหลีกเลี่ยงการแบ่งหน้าของ API การซื้อขาย CLOB (Central Limit Order Book) และการตั้งค่า CORS (Cross-Origin Resource Sharing) ที่ผิดพลาด

รายงานสาธารณะชี้ว่า จุดเชื่อมต่อหลายจุดของ Polymarket ไม่จำเป็นต้องมีการยืนยันตัวตนเลย ตัวอย่างเช่น จุดเชื่อมต่อความคิดเห็นรองรับการโจมตีแบบแรงดันเพื่อค้นหาโปรไฟล์ผู้ใช้ทั้งหมด; จุดเชื่อมต่อรายงานเปิดเผยข้อมูลกิจกรรมของผู้ใช้; และจุดเชื่อมต่อผู้ติดตามอนุญาตให้บุคคลใดก็ได้โดยไม่ต้องล็อกอินวาดแผนที่ความสัมพันธ์ทางสังคมทั้งหมดของที่อยู่กระเป๋าเงินใดๆ

การวิเคราะห์โพสต์บนฟอรัม xorcat และการทบทวนโดย The CyberSec Guru และ The Crypto Times แสดงให้เห็นว่าชุดข้อมูลที่รั่วไหลจัดระเบียบไว้โดย大致ตามผู้ใช้ ตลาด และเครื่องมือโจมตี (ดูข้อมูลด้านล่าง)

ข้อมูลผู้ใช้ 10,000 รายการประกอบด้วยชื่อ ชื่อเล่น คำอธิบายส่วนตัว รูปโปรไฟล์ ที่อยู่กระเป๋าเงินตัวแทน และที่อยู่กระเป๋าเงินพื้นฐาน ข้อมูลผู้ติดตาม 9,000 รายการสามารถสร้างแผนที่ความสัมพันธ์ทางสังคมได้ ข้อมูลความคิดเห็น 4,111 รายการมีข้อมูลผู้ใช้ที่เกี่ยวข้องอยู่ด้วย บันทึกการรายงาน 1,000 รายการเกี่ยวข้องกับที่อยู่ Ethereum ที่ไม่ซ้ำกัน 58 ที่อยู่ ฟิลด์ ID ผู้ใช้ภายในเช่น createdBy และ updatedBy ก็กระจายอยู่ทั่วทั้งระบบ ช่วยให้สามารถสรุปรูปแบบบัญชีแพลตฟอร์มบางส่วนได้

ตลาดด้านข้างครอบคลุม 48,536 ตลาดจากระบบ Polymarket Gamma (รวมข้อมูลเมตาเต็มรูปแบบ, condition ID, token ID), มากกว่า 250,000 ตลาด CLOB ที่ใช้งานอยู่ (พร้อมที่อยู่สัญญา FPMM), 292 เหตุการณ์ที่มีชื่อผู้ใช้ภายในและที่อยู่กระเป๋าเงินของผู้ส่งและผู้ตัดสิน, และ 100 การตั้งค่ารางวัลที่มีที่อยู่สัญญา USDC และอัตราการจ่ายรายวัน

ที่อยู่กระเป๋าเงินบนบล็อกเชนนั้นเป็นความลับโดยธรรมชาติ แต่เมื่อมันปรากฏร่วมกับชื่อ โปรไฟล์ส่วนตัว หรือรูปโปรไฟล์ ความเป็นส่วนตัวก็จะสูญสลายทันที นี่คือประเด็นถกเถียงหลักที่ Polymarket ไม่ได้กล่าวถึงในการตอบสนองครั้งนี้:

การที่ข้อมูลเป็น “สาธารณะ” กับการที่ข้อมูลที่ถูกรวมแล้วยังสามารถปกป้องตัวตนของผู้ใช้ได้หรือไม่ เป็นปัญหาสองเรื่องที่แตกต่างกัน

การตอบกลับของ Polymarket บน X เมื่อวันที่ 28 เมษายน มีเพียงทวีตเดียว แพลตฟอร์มนี้เริ่มต้นด้วยอีโมจิ «😂» โดยตั้งคำถามเกี่ยวกับคำว่า «ถูกโจมตี» ก่อนตอบโต้ทีละข้อ: ข้อมูลบนบล็อกเชนสามารถตรวจสอบได้โดยสาธารณะ ไม่มีข้อมูลใดถูก «รั่วไหล» ข้อมูลเดียวกันนี้สามารถรับได้ฟรีผ่าน API สาธารณะอยู่แล้ว ไม่จำเป็นต้องจ่ายเงินซื้อ ทั้งหมดนี้สรุปด้วยข้อความว่า «นี่คือฟีเจอร์ ไม่ใช่ช่องโหว่»

The Crypto Times รายงานว่า คำตอบของ Polymarket ไม่ได้ตอบสนองต่อข้อกล่าวอ้างทางเทคนิคที่แฮกเกอร์ระบุอย่างตรงจุด รวมถึงการตั้งค่า API ผิดพลาด การตั้งค่า CORS ผิดพลาด เอนด์พอยต์ที่ไม่เปิดเผย และการขาดการจำกัดอัตราการใช้งาน แพลตฟอร์มเลือกโจมตีในระดับที่ง่ายที่สุดในการโต้แย้ง นั่นคือ “ข้อมูลเป็นสาธารณะหรือไม่” แต่กลับเงียบต่อปัญหาความปลอดภัยที่สำคัญกว่า ซึ่งคือ “ผู้โจมตีสามารถดึงข้อมูลจำนวนมากและจัดกลุ่มผ่านเส้นทางที่ไม่คาดคิด”

ในส่วนของ xorcat ยังระบุว่าไม่ได้แจ้งล่วงหน้าให้ Polymarket ทราบ เนื่องจากแพลตฟอร์มนี้ไม่มีโปรแกรมรางวัลสำหรับการรายงานช่องโหว่ จุดนี้ยังไม่ได้รับการยืนยันจากบุคคลที่สาม แต่หากเป็นความจริง ก็สะท้อนถึงช่องว่างบางอย่างของ Polymarket ในด้านการจัดการความปลอดภัยแบบเชิงรุก: ไม่มีช่องทางการเปิดเผยอย่างรับผิดชอบอย่างเป็นทางการ ทำให้ผู้โจมตีมีแนวโน้มที่จะเผยแพร่ข้อมูลอย่างเปิดเผยแทนที่จะรายงานภายใน

ย้อนกลับไปที่เส้นเวลา ระหว่างเดือนสิงหาคมถึงกันยายน 2024 ผู้ใช้หลายคนที่ล็อกอินเข้าสู่ Polymarket ผ่านบัญชี Google รายงานว่า USDC ถูกขโมย โดยผู้โจมตีใช้การเรียกฟังก์ชัน proxy ใน Magic Labs SDK เพื่อโอนยอดเงินผู้ใช้ไปยังที่อยู่หลอกลวง Polymarket ยืนยันว่ามีการโจมตีลักษณะเดียวกันอย่างน้อย 5 ครั้งก่อนสิ้นเดือนกันยายน

ในเดือนพฤศจิกายน 2025 แฮกเกอร์ใช้ช่องความเห็นของ Polymarket เพื่อเผยแพร่ลิงก์ฟิชชิง เมื่อผู้ใช้คลิกที่ลิงก์ จะมีการติดตั้งสคริปต์ที่เป็นอันตรายลงในอุปกรณ์ของผู้ใช้ กิจกรรมการหลอกลวงที่เกี่ยวข้องส่งผลให้เกิดความสูญเสียมากกว่า 500,000 ดอลลาร์สหรัฐ

ในเดือนธันวาคม 2025 ได้เกิดการถูกขโมยบัญชีเป็นจำนวนมากอีกครั้ง Polymarket ยืนยันเหตุการณ์นี้บน Discord และอ้างว่าเกิดจาก “ช่องโหว่ของบริการยืนยันตัวตนของบุคคลที่สาม” การอภิปรายบนโซเชียลมีเดียส่วนใหญ่ชี้ไปที่ผู้ใช้ที่ล็อกอินผ่านอีเมลของ Magic Labs แพลตฟอร์มไม่ได้เปิดเผยชื่อผู้ให้บริการที่เกี่ยวข้อง รวมถึงไม่เปิดเผยจำนวนผู้ใช้ที่ได้รับผลกระทบและขนาดของความสูญเสีย

หลังจากเหตุการณ์แต่ละครั้ง แพลตฟอร์มได้ให้การตอบสนองในระดับที่ต่างกัน: บางครั้งโทษผู้ให้บริการภายนอก บางครั้งยอมรับปัญหาและสัญญาจะติดต่อผู้ใช้ที่ได้รับผลกระทบ ครั้งนี้กับเหตุการณ์ xorcat เป็นครั้งแรกที่ใช้ข้ออ้างว่า “ข้อมูลนี้เป็นข้อมูลสาธารณะ” เป็นแนวป้องกันเต็มรูปแบบ จากมุมมองทางประวัติศาสตร์ การตอบสนองครั้งนี้ดูเหมือนเป็นการแย่งชิงการตีความลักษณะของเหตุการณ์ มากกว่าการจัดการเหตุการณ์ด้านความปลอดภัยตามปกติ

ณ ขณะที่รายงานนี้ถูกเผยแพร่ Polymarket ยังไม่ได้ให้คำอธิบายเกี่ยวกับการแก้ไขช่องโหว่ทางเทคนิคที่ xorcat เปิดเผย และสคริปต์ PoC บนฟอรัมยังสามารถดาวน์โหลดได้โดยบุคคลทั่วไป

ผู้เขียน: คลออด, ซินเชียว TechFlow