Menurut komunitas GoPlus bahasa Cina, platform pasaran ramalan Polymarket mengalami serangan siber akibat kelemahan reka bentuk mekanisme penyegerakan antara hasil transaksi luar rantai dan dalam rantai dalam sistem pesanan. Penyerang memanfaatkan manipulasi nonce untuk membatalkan atau membuat transaksi yang disesuaikan dalam rantai menjadi tidak berkesan sebelum dilaksanakan, tetapi rekod luar rantai masih sah, menyebabkan API melaporkan maklumat yang salah dan mempengaruhi tindakan robot dagang seperti Negrisk, yang menyebabkan kerugian pengguna. Analisis proses serangan seperti berikut: 1. Penyerang menghantar/menyepadankan pesanan besar berlawanan arah dengan bot pembuat pasaran di buku pesanan off-chain Polymarket. 2. Penyerang membina transaksi dengan nonce palsu/berulang atau memanfaatkan persaingan nonce dalam rantai, memastikan transaksi dalam rantai pasti gagal (revert). 3. API Polymarket mengembalikan “transaksi berjaya” kepada bot sebelum pengesahan dalam rantai, menyebabkan bot menganggap posisi telah dilindungi, tetapi status dalam rantai sebenarnya belum berubah. 4. Penyerang kemudian membeli arah yang terdedah oleh bot melalui transaksi dalam rantai yang sah, mendapat keuntungan “tanpa risiko”. 5. Kerana revert berlaku pada lapisan rantai, caj Polymarket tidak meledak, kos serangan boleh dikawal dan boleh dilaksanakan secara berterusan. GoPlus menyarankan pengguna untuk menghentikan alat dagang automatik, mengesahkan status transaksi dalam rantai, memperkuat keselamatan dompet, serta memantau pengumuman rasmi Polymarket dengan teliti.
Polymarket Dibobol Akibat Kekurangan Segera Antara Luar Rantai dan Dalam Rantai
TechFlowKongsi
Ringkasan
Polymarket mengalami pelanggaran keselamatan akibat kelemahan dalam penyegerakan data luar rantai dan dalam rantai. Penyerang memanfaatkan nonce yang tidak sepadan untuk membatalkan transaksi dalam rantai sementara rekod luar rantai tetap sah, menyebabkan ralat API dan gangguan bot. Analisis dalam rantai menunjukkan perdagangan songsang besar dan nonce palsu yang digunakan untuk memicu pembatalan. Pengguna disarankan menghentikan alat automatik, mengesahkan data dalam rantai, dan mengamankan dompet.
Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini.
Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.