Selon la communauté chinoise de GoPlus, la plateforme de marché prédictif Polymarket a été piratée en raison d'une faille de conception dans le mécanisme de synchronisation entre les résultats des transactions hors chaîne et en chaîne de son système de commandes. Les attaquants ont manipulé les nonces pour annuler ou invalider les transactions appariées en chaîne avant leur exécution, tout en conservant les enregistrements hors chaîne comme valides, ce qui a provoqué des erreurs d'API et affecté le comportement des robots de trading tels que Negrisk, entraînant des pertes pour les utilisateurs. Analyse du processus d'attaque : 1. Les attaquants ont soumis ou apparié, sur le carnet d'ordres hors chaîne de Polymarket, de grandes transactions inversées avec des bots de marché. 2. Les attaquants ont construit des transactions avec des nonces falsifiés ou répétés, ou ont exploité une compétition de nonces en chaîne pour garantir que les transactions en chaîne échoueraient nécessairement (revert). 3. L'API de Polymarket a renvoyé un statut « transaction réussie » aux bots avant la confirmation en chaîne, amenant les bots à croire que leurs positions étaient couvertes, alors que l'état en chaîne n'avait pas encore changé. 4. Les attaquants ont ensuite consommé la direction exposée par les bots via des transactions en chaîne réelles, réalisant ainsi un profit « sans risque ». 5. Étant donné que les revert se produisent au niveau de la chaîne, les frais de Polymarket n'ont pas explosé, rendant le coût de l'attaque contrôlable et exécutable de manière répétée. GoPlus recommande aux utilisateurs de suspendre leurs outils de trading automatisés, de vérifier l'état des transactions en chaîne, de renforcer la sécurité de leurs portefeuilles et de suivre attentivement les annonces officielles de Polymarket.
Polymarket piraté en raison d'une vulnérabilité de synchronisation hors chaîne et sur chaîne
TechFlowPartager
Résumé
Polymarket a subi une violation de sécurité due à une faille dans la synchronisation des données hors chaîne et sur chaîne. Les attaquants ont exploité des nonces incompatibles pour annuler des transactions sur chaîne tout en laissant les enregistrements hors chaîne valides, ce qui a provoqué des erreurs d'API et des perturbations des bots. Une analyse sur chaîne a révélé de grandes opérations inversées et des nonces falsifiés utilisés pour déclencher des annulations. Les utilisateurs sont invités à arrêter les outils automatisés, à vérifier les données sur chaîne et à sécuriser leurs wallets.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.