GoPlus中国コミュニティの報告によると、予測市場プラットフォームPolymarketは、オフチェーンとオンチェーンの取引結果を同期する仕組みに設計上の欠陥があり、ハッカーの攻撃を受けました。攻撃者はnonceを操作することで、オンチェーンでの取引マッチングが確定する前にキャンセルまたは無効化し、一方でオフチェーンの記録は有効なままとなるため、APIが誤った情報を返し、Negriskなどの取引ボットの行動に影響を与え、ユーザーに損失をもたらしました。 攻撃のプロセスは以下の通りです: 1. 攻撃者はPolymarketのオフチェーン注文簿上で、マーケットメイキングボットと大規模な逆方向取引を提出・マッチングします。 2. 攻撃者は偽造または重複したnonceを含むトランザクションを生成するか、オンチェーンのnonce競合を利用して、オンチェーン取引が必ずrevertするように仕向けます。 3. PolymarketのAPIはオンチェーンでの確認が完了する前に「取引成功」と応答し、ボットがポジションがヘッジされたと誤認する一方で、実際のオンチェーン状態は変更されていません。 4. 攻撃者はその後、ボットが露出した方向を実際のオンチェーン取引で約定し、「無リスク」で利益を獲得します。 5. revertはチェーンレベルで発生するため、Polymarketの手数料は爆発せず、攻撃コストは制御可能で継続的に実行可能です。 GoPlusは、ユーザーに対して自動化取引ツールの使用を一時停止し、オンチェーン取引状態を確認し、ウォレットセキュリティを強化するとともに、Polymarket公式アナウンスに注目するよう勧めています。
Polymarketがオフチェーンとオンチェーンの同期脆弱性によりハッキングされました
TechFlow共有
概要
Polymarketは、オフチェーンとオンチェーンのデータ同期における不備によりセキュリティ侵害を被りました。攻撃者は不一致なノンスを悪用し、オンチェーンのトランザクションをキャンセルしながらオフチェーンのレコードを有効なままにし、APIエラーとボットの障害を引き起こしました。オンチェーン分析の結果、リバーストレードとリバートを引き起こすために使用された偽造されたノンスが大規模に確認されました。ユーザーには、自動化ツールの使用を停止し、オンチェーンデータを確認し、ウォレットを安全に保つよう勧められています。
出典:原文を表示
免責事項: 本ページの情報はサードパーティからのものであり、必ずしもKuCoinの見解や意見を反映しているわけではありません。この内容は一般的な情報提供のみを目的として提供されており、いかなる種類の表明や保証もなく、金融または投資助言として解釈されるものでもありません。KuCoinは誤記や脱落、またはこの情報の使用に起因するいかなる結果に対しても責任を負いません。
デジタル資産への投資にはリスクが伴います。商品のリスクとリスク許容度をご自身の財務状況に基づいて慎重に評価してください。詳しくは利用規約およびリスク開示を参照してください。