予測市場プラットフォームPolymarketがデータ漏洩の疑い、30万件以上の記録と脆弱性悪用ツールキットが流出

去中心化予測市場プラットフォーム Polymarket がハッキングされた疑いがあり、脅威行為者 xorcat が有名なネット犯罪フォーラムに30万件以上のデータ記録と関連する脆弱性利用ツールキットを公開しました。

攻撃者は、未公開のAPIエンドポイント、ページングバイパス、Polymarket GammaとCLOB APIのCORS設定ミスを通じてデータを抽出したとされています。漏洩した内容には、1万件のユーザーの完全な個人情報（名前、代理ウォレット、基本アドレスを含む）、4111件のコメント、1000件の通報記録（58のETHアドレスと管理者認証アドレス識別を含む）、48536件のGamma市場のメタデータ、25万件以上のアクティブCLOB市場の固定積算マーケットメイカーアドレス、そして9000件のフォロワーのソーシャルグラフデータが含まれています。

ツールキットには、複数の脆弱性の概念実証コードが含まれており、CVE-2025-62718（Axios NO_PROXYバイパス、CVSS 9.9、サーバーサイドリクエストフォージェリを引き起こす可能性）、CVE-2024-51479（Next.jsミドルウェア認証バイパス、CVSS 7.5）、およびCORS設定ミスなどが含まれています。さらに、ツールキットには自動化された継続的プルスクリプトと完全なレッドチームレポートも添付されています。