Polymarket bác bỏ những cáo buộc 'vô lý' về vi phạm dữ liệu của người bán trên web tối

Polymarket đã bác bỏ các cáo buộc về một vụ rò rỉ dữ liệu lớn bởi một người bán hàng trên dark web, gọi các báo cáo là “vô nghĩa.” Kẻ tấn công sử dụng tên “xorcat” tuyên bố đã rò rỉ một cơ sở dữ liệu ảnh hưởng đến hơn 300K hồ sơ và một Bộ công cụ khai thác, chứa khoảng 1GB dữ liệu (tên, biệt danh, và địa chỉ ví).

Kẻ tấn công, người đã tuyên bố rò rỉ dữ liệu của Polymarket trên một diễn đàn tội phạm mạng phổ biến, giải thích rằng dữ liệu được trích xuất qua các điểm API không tài liệu, một phương pháp bỏ qua phân trang, và một cấu hình sai CORS trong API Gamma và CLOB của Polymarket. Gói này còn bao gồm một script tự động dump và các bằng chứng hoạt động cho nhiều CVE.

Cụ thể, dữ liệu trích xuất gồm 10.000 hồ sơ người dùng duy nhất với đầy đủ thông tin cá nhân (tên, biệt danh, tiểu sử, hình đại diện, ví proxy, và địa chỉ cơ bản), và hơn 4.111 bình luận kèm theo các đối tượng hồ sơ đính kèm.

Kẻ tấn công cũng cung cấp các script bằng chứng khái niệm và cáo buộc rằng dữ liệu bao gồm 1.000 hồ sơ báo cáo chứa 58 địa chỉ ETH duy nhất và một chỉ số admin_auth_addr, cũng như hơn 48.000 thị trường gamma với đầy đủ siêu dữ liệu, ID điều kiện, và ID token.

Ngoài ra, còn có hơn 250.000 thị trường CLOB hoạt động với địa chỉ FPMM, và hơn 292 sự kiện với địa chỉ ETH của người gửi/giải quyết và tên người dùng nội bộ. Rò rỉ còn bao gồm 100 cấu hình thưởng với địa chỉ hợp đồng USDC và tỷ lệ hàng ngày, 9.000 hồ sơ người theo dõi (với tên, biệt danh, và ví proxy), và các ID người dùng nội bộ bị lộ trong các trường createdBy/updatedBy.

Việc xâm phạm Polymarket đặt ra mối đe dọa an ninh quốc gia

Polymarket nằm trung tâm của một vụ bê bối về tính toàn vẹn lớn, đặt ra một dạng vi phạm khác – một trong các loại vi phạm về an ninh quốc gia. Bộ Tư pháp và Ủy ban Giao dịch Hàng hóa tương lai (CFTC) đang sử dụng vụ vi phạm gần đây làm ví dụ chính về lý do các thị trường dự đoán cần có sự giám sát chặt chẽ hơn, lập luận rằng chúng có thể khuyến khích rò rỉ thông tin tình báo mật để kiếm lời. Điều này khiến các nhà giao dịch – bao gồm các nhân vật chính trị nổi bật – dễ bị tấn công lừa đảo qua email hoặc quấy rối nhắm mục tiêu.

Những cáo buộc này theo sau một mô hình các thất bại an ninh mạng đã được xác nhận, đã làm lung lay niềm tin của người dùng trong sáu tháng qua. Các kẻ tấn công trong vụ thao túng API/Bot tháng 2 năm 2026 đã khai thác một lỗi thiết kế trong hệ thống đặt lệnh của Polymarket, và tạo ra các “nonce” để hủy các giao dịch trên chuỗi trong khi giữ các ghi chép ngoài chuỗi hợp lệ. Điều này khiến bot phải chịu thiệt hại lớn dựa trên các báo cáo API sai lệch.

Polymarket cũng xác nhận một vụ vi phạm xác thực của bên thứ ba vào tháng 12 năm 2025. Vụ vi phạm liên quan đến một lỗ hổng trong công cụ đăng nhập của bên thứ ba (được báo cáo là Magic Labs), cho phép kẻ tấn công rút tiền ngay cả từ các tài khoản có bật xác thực hai yếu tố (2FA). Một cuộc tấn công lừa đảo khác vào tháng 11 năm 2025 trên phần bình luận của Polymarket đã dẫn đến thiệt hại hơn 500.000 USD cho người dùng.

Các cơ quan quản lý chuyển sang cấm hoạt động tích cực khi khối lượng thị trường dự đoán tăng lên

Các cơ quan quản lý đang chuyển từ quan sát thụ động sang cấm hoạt động tích cực khi khối lượng các thị trường dự đoán tăng lên. Chính phủ Brazil đã chặn 27 nền tảng vào tháng 4 năm 2026 (bao gồm Kalshi và Polymarket), với lý do lo ngại về nợ hộ gia đình và bảo vệ người tiêu dùng.

Các cơ quan ở Romania và Bồ Đào Nha cũng đã chặn các hợp đồng chính trị cụ thể gần đây để ngăn chặn cá cược đầu cơ vào các cuộc bầu cử.

Trong khi đó, Polymarket đã áp dụng các quy tắc nội bộ nghiêm ngặt hơn kể từ tháng 3 năm 2026. Các quy tắc này rõ ràng cấm các giao dịch dựa trên thông tin bị đánh cắp hoặc kiến thức “inside” về các sự kiện địa chính trị. Polymarket cũng đã ký kết Thỏa thuận Dịch vụ Quản lý với Hiệp hội Hợp đồng Tương lai Quốc gia (NFA) để thực thi giám sát theo thời gian thực. Động thái này báo hiệu sự chuyển hướng hướng tới tuân thủ tài chính chính thống.

Các cơ quan quản lý cũng đã xem xét kỹ các giao dịch nổi bật, như cược 32.000 USD về việc bắt giữ Nicolás Maduro, đã mang lại lợi nhuận 436.000 USD ngay trước khi tin chính thức được công bố vào tháng 1 năm 2026. Nhà Trắng và các cơ quan khác đã cảnh báo về việc giao dịch dựa trên thông tin không công khai liên quan đến các xung đột địa chính trị, như chiến tranh Mỹ-Iran.

Ngược lại, nhà phân tích Gautam Chhugani của Bernstein dự đoán rõ ràng hơn về quy định cấp liên bang sẽ thúc đẩy sự phát triển của các thị trường dự đoán. Ông ước tính tổng khối lượng các thị trường dự đoán sẽ đạt $240 tỷ đô la vào năm 2026 (+370% so với năm ngoái).

Chhugani cũng dự đoán rằng khối lượng giao dịch của các thị trường dự đoán sẽ đạt $1 nghìn tỷ mỗi năm vào đầu thập kỷ tới, với tốc độ tăng trưởng kép hàng năm khoảng 80% từ 2025 đến 2030. Cấu trúc các hợp đồng giao dịch cũng có khả năng thay đổi.

Nếu bạn đang đọc điều này, bạn đã đi trước rồi. Hãy duy trì vị trí đó với bản tin của chúng tôi.