GoPlus Çince topluluğuna göre, tahmin pazarı platformu Polymarket, sipariş sistemindeki çevrimdışı ve çevrimiçi işlem sonuçlarının senkronizasyon mekanizmasında bir tasarım kusuru nedeniyle bir siber saldırıya uğradı. Saldırganlar, nonce manipülasyonu yoluyla çevrimiçi eşleşen işlemlerin gerçekleşme öncesi iptal edilmesini veya geçersiz kılınmasını sağladı, ancak çevrimdışı kayıtlar hala geçerli kaldı; bu da API'nin yanlış raporlamasına neden oldu ve Negrisk gibi işlem robotlarının davranışlarını etkiledi, kullanıcı kayıplarına yol açtı. Saldırı süreci şu şekilde analiz edilmiştir: 1. Saldırgan, Polymarket çevrimdışı sipariş defterinde, yapay botlarla büyük ters yönlü işlemler gönderdi/eşleştirdi. 2. Saldırgan, sahte/tekrarlı nonce içeren işlemler oluşturdu veya çevrimiçi nonce rekabetini kullandı, böylece çevrimiçi işlemler kesinlikle geri döndürüldü. 3. Polymarket API, çevrimiçi onaydan önce “işlem başarılı” yanıtını robotlara gönderdi; bu da robotların pozisyonların kapanmış olduğunu düşündürdü, ancak aslında çevrimiçi durum değişmemişti. 4. Saldırgan, daha sonra botların açığa çıkardığı yönde gerçek çevrimiçi işlemlerle pozisyonu kapattı ve böylece “risk yok” kazanç elde etti. 5. Geri dönüşler katman düzeyinde gerçekleştiği için Polymarket ücretleri patlamadı; saldırganın maliyeti kontrol edilebilir ve tekrarlanabilir. GoPlus, kullanıcıların otomatikleşmiş işlem araçlarını durdurmasını, çevrimiçi işlem durumlarını doğrulamasını, cüzdan güvenliklerini güçlendirmesini ve Polymarket'in resmi duyurularını yakından takip etmesini öneriyor.
Polymarket, çevrimdışı ve çevrimiçi senkronizasyon zafiyeti nedeniyle hacklendi
TechFlowPaylaş
Özet
Polymarket, çevrimdışı ve çevrimiçi veri senkronizasyonunda bir hata nedeniyle güvenlik ihlali yaşadı. Saldırganlar, çevrimdışı kayıtlar geçerli kalırken çevrimiçi işlemlerini iptal etmek için eşleşmeyen nonceleri kullandı ve bu da API hatalarına ve bot bozulmalarına neden oldu. Çevrimiçi analiz, geri dönüşlere neden olmak için kullanılan büyük ters işlemler ve sahte nonceleri ortaya çıkardı. Kullanıcılar, otomatik araçları durdurmaya, çevrimiçi verileri doğrulamaya ve cüzdanlarını güvence altına almayı önerilir.
Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir.
Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.