Polymarket回应数据泄露指控：公开信息非漏洞，链上透明是设计特性

针对近期暗网流传的所谓大规模用户数据泄露声明，预测市场平台Polymarket作出明确回应，称相关指控纯属误解。一名自称“xorcat”的黑客在社交媒体宣称获取了超过30万条记录，其中包括1万名用户的姓名、头像、代理钱包及基础地址等敏感信息。然而，Polymarket指出，这些数据均来自其公开接口和链上可审计内容，并未发生实际数据窃取。

链上数据可访问性与安全边界之争

当前加密生态正面临严峻的安全挑战。据安全机构统计，2026年第一季度全球Web3项目因44起攻击与诈骗事件损失约4.82亿美元。在此背景下，关于“数据泄露”与“公开可查信息”的界限愈发模糊。Polymarket强调，其所有数据均通过公共端点和链上协议对外披露，任何开发者或用户均可免费通过API获取，这属于系统设计的一部分，而非安全缺陷。

黑客技术主张与研究界质疑

攻击者声称利用了未公开的Gamma与CLOB API端点，结合分页绕过机制及CORS配置漏洞实施入侵，并暗示将公布其他预测市场的类似数据。然而，多位安全专家对此提出保留意见。Legalblock首席安全官Vladimir S.分析认为，现有证据更支持数据为解析所得，而非数据库被攻破所致，因此难以构成典型意义上的数据泄露事件。

平台立场与核心事实澄清

Polymarket重申其数据始终处于链上且完全公开可审计状态，强调无需外部入侵即可获取相同信息。平台还驳回了“无漏洞赏金计划”的说法，指出其已于4月16日启动正式激励机制，累计收到446份报告，表明安全响应机制正在运行中。

行业背景显示，尽管平台具备高透明度优势，但若缺乏对用户元数据的匿名化处理，仍可能带来隐私风险。此次事件凸显出在开放架构下如何界定“敏感信息暴露”与“正常数据披露”之间的临界点。

API开放性与隐私风险的平衡探讨

平台坚持认为，通过官方API获取的数据不构成安全事件。这一观点在安全圈内引发分歧：部分专家认可其透明性原则，而另一些人则警告，当钱包地址与个人标识符组合呈现时，即便技术上公开，也可能被用于追踪或滥用。

该争议揭示了加密基础设施长期面临的根本矛盾：如何在保障可验证性的同时，有效控制用户身份与行为数据的暴露范围。未来平台需清晰定义哪些数据为公开可见，哪些应受限制访问，以应对日益严格的监管预期。

漏洞赏金机制与信任重建路径

Polymarket已上线活跃的漏洞赏金计划，自启动以来已接收数百份报告，显示出其主动发现与修复问题的能力。该机制的存在被视为平台安全成熟度的体现，但也促使外界关注其响应速度与漏洞修复效率。

观察者将持续追踪其API层是否存在新漏洞，以及事件后续披露是否能提供完整的技术细节。平台能否在真实威胁面前快速恢复信任，将取决于其信息披露透明度与事件处理节奏。

宏观安全格局下的平台责任审视

2026年第一季度的大量安全事故反映出，即使在成熟平台上，攻击者依然存在可乘之机。链上透明虽有助于问责与验证，但当用户身份与交易行为交织时，极易放大隐私泄露风险。

分析人士呼吁，平台应在推动开放性的同时，强化访问控制策略，落实最小化数据采集原则，并制定清晰的隐私政策。随着市场对数据可靠性的要求不断提升，能否在技术透明与用户保护之间取得平衡，将成为衡量平台可信度的关键标准。

随着事件持续发酵，各方期待Polymarket进一步披露其API配置细节、安全控制流程及未来漏洞发现的通报机制。来自独立研究者、安全团队与运营方的多方反馈，将共同塑造公众对主流预测平台数据治理能力的认知。