De acordo com a comunidade chinesa do GoPlus, a plataforma de mercado preditivo Polymarket sofreu um ataque devido a uma falha de design no mecanismo de sincronização entre transações off-chain e on-chain em seu sistema de ordens. O atacante manipulou nonces para cancelar ou invalidar transações on-chain antes de sua execução, enquanto os registros off-chain permaneceram válidos, causando relatos incorretos pela API e afetando o comportamento de robôs de negociação como o Negrisk, resultando em perdas para os usuários. A análise do ataque é a seguinte: 1. O atacante submeteu/comprou grandes ordens inversas no livro de ordens off-chain do Polymarket, emparelhando-as com bots de market-making. 2. O atacante criou transações com nonces falsificados/repetidos ou explorou competição de nonces on-chain para garantir que as transações on-chain fossem revertidas. 3. A API do Polymarket retornou “execução bem-sucedida” aos bots antes da confirmação on-chain, levando os bots a acreditarem que suas posições já estavam cobertas, enquanto o estado on-chain ainda não havia mudado. 4. O atacante, em seguida, executou transações on-chain reais para consumir a direção exposta pelos bots, obtendo lucro “sem risco”. 5. Como a reversão ocorre no nível da cadeia, as taxas do Polymarket não explodem, tornando o custo do ataque controlável e capaz de ser executado continuamente. O GoPlus recomenda que os usuários pausem ferramentas de negociação automatizada, verifiquem o estado das transações on-chain, reforcem a segurança de suas carteiras e acompanhem atentamente os comunicados oficiais do Polymarket.
Polymarket hackeada devido à vulnerabilidade de sincronização off-chain e on-chain
TechFlowCompartilhar
Resumo
A Polymarket sofreu uma violação de segurança devido a uma falha na sincronização de dados off-chain e on-chain. Atacantes exploraram nonces inconsistentes para cancelar transações on-chain enquanto os registros off-chain permaneceram válidos, causando erros na API e interrupções em bots. A análise on-chain revelou grandes operações reversas e nonces falsificados usados para acionar reversões. Os usuários são aconselhados a interromper ferramentas automatizadas, verificar os dados on-chain e proteger suas carteiras.
Fonte:Mostrar original
Aviso legal: as informações nesta página podem ter sido obtidas de terceiros e não refletem necessariamente os pontos de vista ou opiniões da KuCoin. Este conteúdo é fornecido apenas para fins informativos gerais, sem qualquer representação ou garantia de qualquer tipo, nem deve ser interpretado como aconselhamento financeiro ou de investimento. A KuCoin não é responsável por quaisquer erros ou omissões, ou por quaisquer resultados do uso destas informações.
Os investimentos em ativos digitais podem ser arriscados. Avalie cuidadosamente os riscos de um produto e a sua tolerância ao risco com base nas suas próprias circunstâncias financeiras. Para mais informações, consulte nossos termos de uso e divulgação de risco.