Polymarket否认数据泄露 称黑客所展示信息均为公开数据
预测市场平台Polymarket于2026年4月29日发布声明,否认近期有关其用户数据被黑客窃取的报道。此前,一名自称“xorcat”的黑客在暗网论坛DarkForums上声称,已窃取超过30万条记录,包括1万份含姓名、头像、代理钱包及基础地址的用户资料。
Polymarket回应称,该黑客展示的信息“完全且彻底是无稽之谈”,所有数据均可通过其公开API端点和链上数据免费获取。公司强调:“区块链透明性的美在于所有数据均可公开审计,这是特性,而非缺陷。没有任何数据被泄露。”
黑客声称其通过Polymarket的Gamma和CLOB API中的未文档化接口、分页绕过及CORS配置错误获取数据,并指平台无漏洞赏金计划。但Polymarket指出,其漏洞赏金计划自4月16日启动,截至29日已收到446份安全报告。
网络安全公司Hacken本月早些时候报告,2026年第一季度全球Web3项目因黑客攻击和诈骗损失4.82亿美元,共发生44起事件。安全专家Vladimir S表示,黑客行为“看起来像是数据抓取后伪装成数据库泄露”,认为其真实性存疑。
Polymarket进一步指出,黑客所声称的“数据泄露”实为平台向开发者免费提供的数据,质疑“哪位风投支付你发布这些内容?”
此次事件凸显了Web3生态中数据透明性与安全性的双重挑战,也反映出区块链平台在公开数据与隐私保护之间的平衡难题。
编辑点评
此次事件揭示了Web3生态中一个核心矛盾:数据透明性与用户隐私保护的张力。Polymarket的回应强调了区块链技术的公开可审计特性——这本是其核心优势,却可能被误读为安全漏洞。黑客声称的“泄露”本质上是数据抓取,而非真正意义上的数据库入侵,这反映出部分安全圈对去中心化系统安全模型的理解偏差。
从国际影响看,此事件可能加剧对Web3平台数据合规性的关注。尽管Polymarket数据在技术层面无漏洞,但用户对“隐私暴露”的感知可能引发监管压力,尤其是在欧盟GDPR或美国加州消费者隐私法(CCPA)等框架下。若类似事件频发,可能推动行业制定更明确的“链上数据披露标准”或“用户数据匿名化指南”。
此外,该事件也凸显了“漏洞赏金”机制的重要性。Polymarket已启动赏金计划且响应迅速,这为其他Web3项目提供了范本。未来,平台若未能及时响应安全报告,或被解读为对用户数据安全的漠视,从而影响其市场信任度。长期来看,此类事件可能推动Web3安全基础设施的标准化,如统一API审计规范或链上数据访问权限控制框架,从而重塑去中心化应用的安全生态。