Polymarket Bác Bỏ Tuyên Bố Của Hacker, Dữ Liệu Vẫn Công Khai

Polymarket, nền tảng thị trường dự đoán, đã phản bác mạnh mẽ một loạt báo cáo cáo buộc vi phạm dữ liệu sau khi một bài đăng trên dark web tuyên bố tiết lộ thông tin cá nhân của người dùng. Một hacker sử dụng tên "xorcat" cùng các tài khoản an ninh mạng lưu hành trên X tuyên bố đã đánh cắp hơn 300.000 bản ghi, bao gồm 10.000 hồ sơ đầy đủ với tên, ảnh hồ sơ, ví proxy và địa chỉ cơ sở. Polymarket mô tả những cáo buộc này là "hoàn toàn vô lý," lập luận rằng thông tin được đề cập đã có thể truy cập công khai.

Tranh cãi nổ ra khi cộng đồng bảo mật tiền mã hoá và các thị trường on-chain theo dõi một làn sóng hack và lộ dữ liệu trong tháng trước. Các hacker và cấu hình sai đã góp phần vào một loạt sự cố, với Hacken báo cáo rằng các dự án Web3 đã mất khoảng 482 triệu USD trong các vụ hack và lừa đảo qua mạng trên 44 sự kiện trong quý đầu năm 2026. Bối cảnh đó đã làm tăng sự giám sát về mức độ dữ liệu bị lộ bởi các hệ thống on-chain và có thể truy cập qua API, cũng như điều gì cấu thành vi phạm so với bề mặt dữ liệu công khai có thể kiểm toán.

Lập trường của Polymarket được củng cố bởi một phản bác trực tiếp trên X, nơi nhóm phát triển cho biết các tuyên bố vi phạm là "hoàn toàn vô lý" và lưu ý rằng dữ liệu bị cáo buộc đã bị đánh cắp là thông tin đã có thể truy cập trực tuyến. Trong một bài đăng khác, Polymarket nhấn mạnh tính chất on-chain và có thể kiểm toán công khai của dữ liệu: "Một phần vẻ đẹp của việc on chain là tất cả dữ liệu của chúng tôi đều có thể kiểm toán công khai, đây là tính năng, không phải lỗi. Không có dữ liệu nào bị rò rỉ, nó có thể truy cập qua các điểm cuối công khai và dữ liệu on-chain của chúng tôi. Thay vì trả tiền cho dữ liệu, bạn có thể truy cập miễn phí qua các API của chúng tôi."

Tuyên bố của hacker tập trung vào các vi phạm qua các điểm cuối API bị cho là bị xâm phạm và dữ liệu on-chain, với các khẳng định rằng các điểm cuối API không có tài liệu, bỏ qua phân trang và cấu hình sai CORS trên các API Gamma và CLOB của Polymarket đã bị khai thác. Kẻ tấn công cũng đề xuất kế hoạch phát hành thêm dữ liệu từ các thị trường dự đoán khác trong những ngày tới.

Một số nhà nghiên cứu bảo mật bày tỏ sự hoài nghi về câu chuyện vi phạm. Vladimir S., nhà nghiên cứu mối đe dọa và giám đốc bảo mật tại Legalblock, cảnh báo rằng bằng chứng cho thấy dữ liệu đã được phân tích cú pháp thay vì bị rò rỉ trong một vi phạm thực sự, mô tả kịch bản này khó có khả năng phản ánh sự xâm phạm DB thực sự.

Những điểm chính

• Sự cố xoay quanh tuyên bố đánh cắp dữ liệu từ Polymarket, mà nhà điều hành bác bỏ là không đúng sự thật, khẳng định rằng dữ liệu được báo cáo có thể truy cập công khai và đã được công bố.
• Polymarket duy trì rằng dữ liệu của mình vẫn on-chain và có thể kiểm toán công khai, nhấn mạnh rằng các nhà phát triển và người dùng có thể truy cập thông tin miễn phí qua các API công khai.
• Nền tảng phản bác quan điểm rằng không có chương trình bug bounty, lưu ý một chương trình đang hoạt động bắt đầu từ ngày 16/04 và đã nhận được hàng trăm báo cáo—đặt ra câu hỏi về thời điểm và phạm vi của việc lộ dữ liệu bị cáo buộc.
• Bối cảnh ngành quan trọng: Các hacker và cấu hình sai đã góp phần vào một làn sóng rộng lớn các sự cố bảo mật tiền mã hoá trong Q1 2026, nhấn mạnh tính dễ bị tổn thương liên tục của ngành trước rò rỉ dữ liệu và lỗ hổng kiểm soát truy cập.
• Những người hoài nghi lập luận rằng tuyên bố có thể phản ánh việc phân tích cú pháp dữ liệu hoặc hiểu nhầm thay vì vi phạm thực sự, làm nổi bật sự căng thẳng giữa tính minh bạch on-chain và việc lộ dữ liệu cấp người dùng nhạy cảm.

Phản hồi của Polymarket và cuộc tranh luận về quyền truy cập dữ liệu

Trọng tâm của tranh chấp là khẳng định của Polymarket rằng không có vi phạm dữ liệu và thông tin được hacker trích dẫn đã là công khai. Trong các bài đăng quan sát được trên X, nền tảng lập luận rằng các điểm cuối API có thể truy cập công khai và sự sẵn có của dữ liệu on-chain có nghĩa là người dùng và nhà phát triển có thể truy xuất cùng một dữ liệu mà không cần xâm nhập. Lập trường của công ty phù hợp với một cuộc tranh luận rộng hơn trong tiền mã hoá: khi hoạt động on-chain vốn đã công khai và có thể kiểm toán, thì ở điểm nào việc lộ thông tin trở thành vi phạm thay vì là đặc điểm thiết kế của kiến trúc?

Sàn giao dịch cũng chỉ ra chiến lược API của mình, gợi ý rằng dữ liệu bị tuyên bố là bị đánh cắp có thể truy cập với bất kỳ ai qua các API của mình thay vì đại diện cho một sự xâm phạm bảo mật. Cách diễn đạt này đã thu hút những phản ứng trái chiều từ cộng đồng bảo mật, với một số chuyên gia thừa nhận tính chất công khai của một số dữ liệu trong khi những người khác cảnh báo rằng việc lộ metadata người dùng nhạy cảm—đặc biệt kết hợp với địa chỉ ví và định danh hồ sơ—có thể đặt ra mối lo ngại về quyền riêng tư ngay cả khi về mặt kỹ thuật là công khai.

Ngoài những chi tiết cụ thể của Polymarket, tập này đề cập đến một vấn đề kéo dài hơn trong cơ sở hạ tầng tiền mã hoá: làm thế nào để cân bằng tính cởi mở và khả năng kiểm toán với việc bảo vệ quyền riêng tư của người dùng. Dữ liệu on-chain và quyền truy cập dựa trên API có thể cho phép xác minh và minh bạch nhanh chóng, nhưng chúng cũng có thể mở rộng bề mặt thu thập dữ liệu và lạm dụng tiềm ẩn nếu không được kiểm soát hoặc ẩn danh hóa đúng cách. Cuộc thảo luận đang diễn ra nhấn mạnh lý do tại sao các nền tảng phải phân định rõ ràng dữ liệu nào hiển thị công khai so với dữ liệu nào được coi là nhạy cảm hoặc bị hạn chchế.

Chương trình bug bounty và trạng thái bảo mật

Một điểm phản bác trung tâm đối với quan điểm "không có bug bounty" là chương trình bug bounty đã tuyên bố của Polymarket. Nền tảng cho biết một sáng kiến đang hoạt động bắt đầu từ ngày 16/04 và kể từ đó đã thu thập hàng trăm báo cáo—446, tính đến bản cập nhật gần nhất. Nhịp độ này cho thấy một nỗ lực tích cực để xác định và khắc phục các lỗ hổng, ngay cả khi tập hiện tại diễn ra trước mắt công chúng. Sự tồn tại của một chương trình bug bounty chính thức có thể là tín hiệu về sự trưởng thành bảo mật liên tục, nhưng nó cũng mời sự giám sát về phạm vi báo cáo lỗi và khả năng phản hồi của các bản vá trong một môi trường mối đe dọa đang phát triển nhanh chóng.

Các quan sát viên trong ngành sẽ theo dõi xem các lỗ hổng hoặc cấu hình sai mới có tiếp tục xuất hiện trong các lớp API của Polymarket hay không, hoặc nếu tập hiện tại vẫn giới hạn ở việc hiểu sai dữ liệu có sẵn công khai. Sự tương tác giữa hoạt động bug bounty, mốc thời gian tiết lộ và phản hồi sự cố sẽ cung cấp thông tin về tốc độ nền tảng có thể lấy lại niềm tin nếu bất kỳ vấn đề thực sự nào xuất hiện.

Bối cảnh ngành: các sự cố bảo mật và tính minh bạch on-chain

Bức tranh bảo mật tiền mã hoá rộng hơn bổ sung bối cảnh cho tập Polymarket. Các hacker và cấu hình sai đã đẩy bảo mật Web3 lên hàng đầu, với Q1 2026 báo cáo những tổn thất đáng chú ý trên nhiều sự cố. Trong khi tổng tổn thất và số lượng sự cố khác nhau theo nguồn, xu hướng minh họa rằng ngay cả các thị trường đã thành lập và nền tảng dự đoán vẫn là mục tiêu hấp dẫn cho những kẻ tấn công tìm kiếm lợi thế dữ liệu hoặc tài chính.

Các nhà phân tích lưu ý rằng tính chất công khai của dữ liệu on-chain có thể là con dao hai lưỡi: nó cho phép xác minh và trách nhiệm nhanh chóng nhưng cũng có thể làm phức tạp các cân nhắc về quyền riêng tư nếu thông tin nhận dạng người dùng trở nên đan xen với dữ liệu giao dịch minh bạch. Trong môi trường này, các nền tảng ủng hộ tính cởi mở cũng phải đảm bảo kiểm soát truy cập mạnh mẽ, giảm thiểu dữ liệu cẩn thận và các chính sách quyền riêng tư rõ ràng hướng tới người dùng để điều hướng các kỳ vọng quy định và thị trường đang phát triển.

Khi câu chuyện xung quanh Polymarket phát triển, các quan sát viên sẽ muốn xem nền tảng phản hồi như thế nào trước sự giám sát liên tục, liệu nó có công bố thêm chi tiết kỹ thuật về cấu hình API và kiểm soát bảo mật của mình hay không, và cách nó truyền đạt bất kỳ phát hiện nào trong tương lai từ các tiết lộ bug bounty. Các báo cáo từ các nhà nghiên cứu bảo mật, nhà điều hành sàn giao dịch và các nhà nghiên cứu độc lập sẽ tiếp tục định hình nhận thức thị trường về độ tin cậy của dữ liệu trên các nền tảng dự đoán phổ biến.

Trong báo cáo tuần này, Cointelegraph đã dựa trên đánh giá của Hacken về bối cảnh bảo mật của giai đoạn, nhấn mạnh rằng quý đầu năm 2026 chứng kiến một khối lượng đáng kể các vụ khai thác trên toàn không gian Web3. Sự hội tụ của khả năng truy cập dữ liệu công khai và các câu chuyện hack nổi bật làm rõ lý do tại sao các nhà đầu tư và nhà xây dựng đang chú ý chặt chẽ hơn đến cách các nền tảng xử lý lộ dữ liệu, bảo mật API và phản hồi sự cố trong thời gian thực.

Nguồn: Các bài đăng của Polymarket trên X, bình luận của các nhà nghiên cứu an ninh mạng, và dữ liệu ngành được trích dẫn bởi Hacken và Cointelegraph.

Polymarket cam kết với báo chí độc lập, minh bạch. Bài viết tin tức này tuân thủ Chính sách Biên tập của Cointelegraph và nhằm mục đích cung cấp thông tin chính xác và kịp thời. Độc giả được khuyến khích tự xác minh thông tin.

Bài viết này ban đầu được xuất bản với tên Polymarket Refutes Hacker Claims, Data Remains Public trên Crypto Breaking News – nguồn tin cậy của bạn về tin tức tiền mã hoá, tin tức Bitcoin và cập nhật blockchain.