Головна
Новини
Детальніше

Підозра на витік даних Polymarket: викрадено понад 300 000 записів та інструментарій для експлуатації

iconTechFlow
Поділитися
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
POL
$0,0918-0,97%
AI summary iconКороткий зміст

expand icon
Підозрювана витік даних у Polymarket призвів до розголошення понад 300 000 записів та інструментарію для експлуатації, згідно з аналізом даних у ланцюгу. Хакер xorcat опублікував дані на одному з великих форумів кіберзлочинності, включаючи 10 000 профілів користувачів та 250 000 активних адрес ринків CLOB. Витік був здійснений завдяки неправильній конфігурації API та недолікам пагінації в системах Gamma та CLOB. Інструментарій для експлуатації містить код для CVE-2025-62718 та CVE-2024-51479. Слідкування за даними інфляції та безпекові аудити зараз підлягають більш уважному контролю.

За даними Dark Web Informer, децентралізована платформа прогнозування Polymarket, ймовірно, зазнала хакерської атаки: зловмисник xorcat опублікував понад 300 000 записів даних та відповідний експлойт-пакет на відомому форумі кіберзлочинності. Дата витоку даних — 27 квітня 2026 року. Згідно з повідомленнями, нападники отримали доступ до даних через невідомі API-ендпоінти, обхід пагінації та неправильну конфігурацію CORS у Polymarket Gamma та CLOB API. У витікнулих даних містяться: повна інформація про 10 000 користувачів (включаючи імена, агентські гаманці та базові адреси), 4111 коментарів, 1000 скарг (з 58 адресами ETH та ідентифікаторами адміністративних адрес), 48 536 метаданих Gamma-ринків, більше 250 000 адрес фіксованих множників для активних CLOB-ринків, а також 9 000 записів соціальних графів слідувань. У експлойт-пакеті містяться концепт-докази експлойтів для CVE-2025-62718 (обхід NO_PROXY у Axios, CVSS 9.9, дозволяє викликати SSRF), CVE-2024-51479 (обхід автентифікації у Next.js middleware, CVSS 7.5) та неправильних конфігурацій CORS. Крім того, пакет містить автоматизовані сценарії безперервного збору даних та повний звіт червоної команди (з M

Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації. Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.