Главная
Новости
Подробнее

Polymarket был взломан из-за уязвимости синхронизации вне цепочки и в цепочке

iconTechFlow
Поделиться
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconСводка

expand icon
Polymarket столкнулся с утечкой безопасности из-за ошибки в синхронизации данных вне цепочки и в цепочке. Злоумышленники использовали несовпадающие nonce для отмены транзакций в цепочке, при этом записи вне цепочки оставались действительными, что привело к ошибкам API и сбоям в работе ботов. Анализ в цепочке выявил крупные обратные сделки и поддельные nonce, использовавшиеся для запуска откатов. Пользователям рекомендуется приостановить автоматизированные инструменты, проверить данные в цепочке и обеспечить безопасность кошельков.

Согласно сообщению сообщества GoPlus на китайском языке, платформа прогнозных рынков Polymarket подверглась хакерской атаке из-за уязвимости в дизайне механизма синхронизации результатов оффчейн- и ончейн-транзакций в системе заказов. Злоумышленник манипулировал nonce, чтобы отменить или сделать недействительными ончейн-сопоставленные транзакции до их исполнения, в то время как оффчейн-записи оставались действительными, что привело к ложным отчетам API и повлияло на поведение торговых роботов, таких как Negrisk, вызвав убытки пользователей. Анализ процесса атаки: 1. Злоумышленник разместил/сопоставил крупные обратные сделки с ботами маркет-мейкеров в оффчейн-ордербуке Polymarket. 2. Злоумышленник создал транзакции с поддельными/повторяющимися nonce или воспользовался конкуренцией nonce на цепочке, чтобы гарантировать откат ончейн-транзакций. 3. API Polymarket возвращал ботам сообщение «сделка выполнена» до подтверждения на цепочке, заставляя боты считать, что позиции были хеджированы, хотя фактическое состояние на цепочке не изменилось. 4. Злоумышленник затем исполнил реальные ончейн-транзакции против направления, раскрытого ботами, и получил «безрисковую» прибыль. 5. Поскольку откат происходил на уровне цепочки, комиссии Polymarket не взрывались, затраты на атаку были контролируемыми и позволяли повторять ее. GoPlus рекомендует пользователям приостановить использование автоматизированных торговых инструментов, проверить статус ончейн-транзакций, усилить безопасность кошельков и внимательно следить за официальными объявлениями Polymarket.

Источник:Показать оригинал
Отказ от ответственности: Информация на этой странице может быть получена от третьих лиц и не обязательно отражает взгляды или мнения KuCoin. Данный контент предоставляется исключительно в общих информационных целях, без каких-либо заверений или гарантий, а также не может быть истолкован как финансовый или инвестиционный совет. KuCoin не несет ответственности за ошибки или упущения, а также за любые результаты, полученные в результате использования этой информации. Инвестиции в цифровые активы могут быть рискованными. Пожалуйста, тщательно оценивайте риски, связанные с продуктом, и свою устойчивость к риску, исходя из собственных финансовых обстоятельств. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашими Условиями использования и Уведомлением о риске.