Polymarket को ऑफ-चेन और ऑन-चेन सिंक वल्नरेबिलिटी के कारण हैक किया गया

गोप्लस चाइनीज कम्युनिटी के अनुसार, प्रेडिक्शन मार्केट प्लेटफॉर्म पॉलीमार्केट को ऑर्डर सिस्टम में ऑफ-चेन और ऑन-चेन ट्रेडिंग रिजल्ट सिंक्रोनाइजेशन मैकेनिज़म के डिज़ाइन दोष के कारण हैक किया गया। हैकर्स ने nonce को मैनिपुलेट करके ऑन-चेन मैच किए गए ट्रेड्स को लागू होने से पहले रद्द या अमान्य कर दिया, लेकिन ऑफ-चेन रिकॉर्ड्स अभी भी वैध रहे, जिससे API में गलत रिपोर्टिंग हुई और Negrisk जैसे ट्रेडिंग बॉट्स के व्यवहार पर प्रभाव पड़ा, जिससे उपयोगकर्ताओं को नुकसान हुआ। हमले की प्रक्रिया का विश्लेषण निम्नलिखित है: 1. हैकर्स ने पॉलीमार्केट के ऑफ-चेन ऑर्डरबुक पर मार्केट मेकिंग बॉट के साथ बड़े पैमाने पर विपरीत ट्रेड्स सबमिट/मैच किए। 2. हैकर्स ने झूठे/दोहराए गए nonce के साथ ट्रेड्स बनाए या ऑन-चेन nonce प्रतिस्पर्धा का उपयोग करके ऑन-चेन ट्रेड्स को अवश्य revert होने के लिए मजबूर किया। 3. पॉलीमार्केट API, ऑन-चेन पुष्टि से पहले ही bot को "ट्रेड सफल" का संकेत देता है, जिससे bot को लगता है कि पोजीशन हेज हो चुकी है, लेकिन वास्तविक ऑन-चेन स्थिति अभी तक अपडेट नहीं हुई है। 4. हैकर्स बाद में bot की संवेदनशील स्थिति को सच्ची ऑन-चेन ट्रेड से कवर करते हैं, जिससे "बिना जोखिम" मुनाफा कमाते हैं। 5. क्योंकि revert चेन स्तर पर होता है, पॉलीमार्केट के शुल्क में विस्फोट नहीं होता, हमले की लागत नियंत्रित है और इसे लगातार दोहराया जा सकता है। गोप्लस उपयोगकर्ताओं को सुझाव देता है कि वे स्वचालित ट्रेडिंग टूल्स को स्थगित कर दें, ऑन-चेन ट्रेड स्थिति की पुष्टि करें, वॉलेट सुरक्षा को मजबूत करें, और पॉलीमार्केट की आधिकारिक सूचनाओं पर नज़र बनाए रखें।