Según informa la comunidad china de GoPlus, la plataforma de mercados predictivos Polymarket sufrió un ataque de hackers debido a una deficiencia en el diseño del mecanismo de sincronización entre las operaciones off-chain y on-chain en su sistema de órdenes. Los atacantes manipularon nonces para cancelar o invalidar las operaciones on-chain antes de su ejecución, mientras que los registros off-chain seguían siendo válidos, lo que provocó informes erróneos en la API e impactó el comportamiento de bots de trading como Negrisk, causando pérdidas a los usuarios. El análisis del ataque es el siguiente: 1. Los atacantes presentaron o emparejaron grandes operaciones inversas con bots de market-making en el libro de órdenes off-chain de Polymarket. 2. Los atacantes construyeron transacciones con nonces falsificados o repetidos, o aprovecharon la competencia de nonces on-chain para garantizar que las transacciones on-chain se revertirían necesariamente. 3. La API de Polymarket devolvió “operación exitosa” a los bots antes de confirmar el estado on-chain, haciendo que los bots creyeran que sus posiciones ya estaban cubiertas, cuando en realidad el estado on-chain aún no había cambiado. 4. Posteriormente, los atacantes ejecutaron transacciones on-chain reales para consumir la dirección expuesta por los bots, obteniendo así ganancias “sin riesgo”. 5. Debido a que las revertidas ocurren en el nivel de cadena, los costos de gas de Polymarket no se disparan, lo que hace que el costo del ataque sea controlable y pueda ejecutarse de forma sostenida. GoPlus recomienda a los usuarios suspender las herramientas de trading automatizado, verificar el estado on-chain de las transacciones, fortalecer la seguridad de sus billeteras y mantenerse atentos a los anuncios oficiales de Polymarket.
Polymarket comprometida debido a una vulnerabilidad de sincronización fuera de cadena y en cadena
TechFlowCompartir
Resumen
Polymarket sufrió una brecha de seguridad debido a una falla en la sincronización de datos fuera de cadena y en cadena. Los atacantes explotaron nonces desemparejados para cancelar transacciones en cadena mientras los registros fuera de cadena permanecían válidos, lo que provocó errores en la API y interrupciones en los bots. El análisis en cadena reveló grandes operaciones inversas y nonces falsificados utilizados para activar revertidos. Se aconseja a los usuarios que detengan las herramientas automatizadas, verifiquen los datos en cadena y aseguren sus monederos.
Fuente:Mostrar original
Descargo de responsabilidad: La información contenida en esta página puede proceder de terceros y no refleja necesariamente los puntos de vista u opiniones de KuCoin. Este contenido se proporciona solo con fines informativos generales, sin ninguna representación o garantía de ningún tipo, y tampoco debe interpretarse como asesoramiento financiero o de inversión. KuCoin no es responsable de ningún error u omisión, ni de ningún resultado derivado del uso de esta información.
Las inversiones en activos digitales pueden ser arriesgadas. Evalúa con cuidado los riesgos de un producto y tu tolerancia al riesgo en función de tus propias circunstancias financieras. Para más información, consulta nuestras Condiciones de uso y la Declaración de riesgos.