Menurut komunitas GoPlus bahasa Tiongkok, platform pasar prediksi Polymarket mengalami serangan hacker akibat kelemahan desain mekanisme sinkronisasi hasil transaksi off-chain dan on-chain dalam sistem pesanan. Penyerang memanfaatkan manipulasi nonce untuk membatalkan atau membuat transaksi yang telah dipasangkan di blockchain menjadi tidak valid sebelum terealisasi, sementara catatan off-chain tetap valid, menyebabkan API memberikan laporan salah yang memengaruhi perilaku trading bot seperti Negrisk dan menyebabkan kerugian pengguna. Analisis proses serangan sebagai berikut: 1. Penyerang mengirimkan/memadankan pesanan besar berlawanan arah dengan bot market maker di orderbook off-chain Polymarket. 2. Penyerang membuat transaksi dengan nonce palsu/duplikat atau memanfaatkan persaingan nonce di blockchain, sehingga transaksi on-chain pasti gagal (revert). 3. API Polymarket langsung mengembalikan respons “transaksi berhasil” ke bot sebelum konfirmasi on-chain, menyebabkan bot menganggap posisi telah terhedging, padahal status on-chain belum berubah. 4. Penyerang kemudian mengeksekusi transaksi on-chain yang sebenarnya untuk mengambil arah posisi bot yang terbuka, sehingga mendapatkan keuntungan “tanpa risiko”. 5. Karena revert terjadi di lapisan blockchain, biaya Polymarket tidak melonjak, sehingga biaya serangan terkendali dan dapat dilakukan secara berulang. GoPlus menyarankan pengguna untuk sementara menghentikan alat trading otomatis, memverifikasi status transaksi on-chain, memperkuat keamanan dompet, serta terus memantau pengumuman resmi Polymarket.
Polymarket Diretas Karena Kerentanan Sinkronisasi Off-Chain dan On-Chain
TechFlowBagikan
Ringkasan
Polymarket mengalami pelanggaran keamanan akibat kelemahan dalam sinkronisasi data off-chain dan on-chain. Penyerang memanfaatkan ketidaksesuaian nonce untuk membatalkan transaksi on-chain sementara catatan off-chain tetap valid, menyebabkan kesalahan API dan gangguan bot. Analisis on-chain mengungkapkan perdagangan balik besar dan nonce palsu yang digunakan untuk memicu pembatalan. Pengguna disarankan untuk menghentikan alat otomatis, memverifikasi data on-chain, dan mengamankan dompet.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.