Ayon sa GoPlus Chinese Community, ang prediction market platform na Polymarket ay nasakop ng isang hacker dahil sa isang kakulangan sa disenyo ng mekanismo ng pag-sync sa pagitan ng off-chain at on-chain na mga resulta ng order. Sa pamamagitan ng pag-manipula ng nonce, nakapagpapaboto ang hacker sa mga on-chain na pagkakatugma na mawawala o maging hindi epektibo bago ito matapos, ngunit nananatiling epektibo ang mga off-chain na rekord, na nagdudulot ng maling ulat sa API at nakakaapekto sa pagtugon ng mga trading bot tulad ng Negrisk, na nagresulta sa pagkawala ng mga user. Ang analisis ng pag-atake ay sumusunod: 1. Ang hacker ay nagsumite o nag-match ng malalaking kontraryong transaksyon sa off-chain orderbook ng Polymarket kasama ang market-making bot. 2. Ang hacker ay bumuo ng mga transaksyon na may fake/replicated nonce o gumamit ng on-chain nonce competition upang siguraduhing mababawi ang on-chain na transaksyon. 3. Ang Polymarket API ay agad ay nag-return ng “successful trade” sa bot bago ang on-chain na pag-verify, na nagpapakita sa bot na ang posisyon ay naka-hedge, ngunit ang aktwal na on-chain na estado ay hindi pa nabago. 4. Pagkatapos, ang hacker ay kumain ng direksyon na inilabas ng bot gamit ang totoong on-chain na transaksyon, upang makakuha ng “risk-free” na kita. 5. Dahil ang revert ay nangyari sa chain layer, hindi lalaki ang mga bayarin ng Polymarket, at kontrolado at patuloy na maisasagawa ang gastos sa pag-atake. Inirerekomenda ng GoPlus na tumigil ang mga user sa paggamit ng automated trading tools, i-verify ang on-chain na estado ng transaksyon, palakasin ang seguridad ng wallet, at maging mapanuri sa mga opisyal na pahayag ng Polymarket.
Nahack ng Polymarket dahil sa vulnerability sa pag-sync ng off-chain at on-chain
TechFlowI-share
Summary
Nasira ang Polymarket dahil sa isang kakulangan sa pagpapares ng data sa off-chain at on-chain. Ginamit ng mga attacker ang mismatched na nonces upang kanselahin ang on-chain na transaksyon habang nananatiling valid ang mga record sa off-chain, na nagresulta sa API errors at pagkabigo ng mga bot. Ipinakita ng on-chain na pagsusuri ang malalaking reverse trades at forged na nonces na ginamit upang i-trigger ang mga reverts. Inirerekomenda sa mga user na ipaghinto ang mga automated na tool, i-verify ang on-chain na data, at i-secure ang kanilang wallets.
Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito.
Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.