За повідомленням китайської спільноти GoPlus, прогнозувальна платформа Polymarket зазнала хакерської атаки через недолік у дизайні механізму синхронізації між офф-чейн та он-чейн результатами замовлень. Зловмисник використав маніпуляції з nonce, щоб скасувати або зробити нечіткими он-чейн угоди до їх виконання, тоді як офф-чейн записи залишалися дійсними, що призводило до помилкових повідомлень API та впливало на поведінку торгівельних роботів, таких як Negrisk, що призвело до втрат користувачів. Аналіз атаки: 1. Зловмисник подав/запровадив велику зворотну угоду з ботом-маркет-мейкером у офф-чейн ордербук Polymarket. 2. Зловмисник створив транзакції з підробленими/повторними nonce або використав конкуренцію nonce на ланцюзі, щоб забезпечити обов’язкове відхилення он-чейн угод. 3. API Polymarket повертав ботам повідомлення «угода успішно виконана» до підтвердження на ланцюзі, що призводило до того, що боти вважали позиції хеджованими, хоча реальний стан на ланцюзі не змінився. 4. Потім зловмисник виконував справжні он-чейн угоди, щоб «з’їсти» напрямок, який виявив бот, отримуючи «безризиковий» прибуток. 5. Оскільки відхилення відбувалося на рівні ланцюга, комісії Polymarket не розривалися, а витрати на атаку були контролюваними та можливими для повторного виконання. GoPlus рекомендує користувачам призупинити використання автоматизованих інструментів торгівлі, перевірити стан он-чейн угод, підсилити безпеку гаманця та уважно стежити за офіційними оголошеннями Polymarket.
Polymarket взламано через вразливість синхронізації поза ланцюгом і в ланцюзі
TechFlowПоділитися
Короткий зміст
Polymarket зазнав порушення безпеки через недолік у синхронізації даних поза ланцюгом та в ланцюзі. Зловмисники використали неспівпадіння nonce, щоб скасувати транзакції в ланцюзі, тоді як записи поза ланцюгом залишалися дійсними, що призвело до помилок API та порушень роботи ботів. Аналіз у ланцюзі виявив величезні зворотні угоди та підроблені nonce, використані для спровокування відкатів. Користувачам рекомендується призупинити автоматизовані інструменти, перевірити дані в ланцюзі та забезпечити гаманці.
Джерело:Показати оригінал
Відмова від відповідальності: Інформація на цій сторінці може бути отримана від третіх осіб і не обов'язково відображає погляди або думки KuCoin. Цей контент надається лише для загального інформування, без будь-яких запевнень або гарантій, а також не може розглядатися як фінансова або інвестиційна порада. KuCoin не несе відповідальності за будь-які помилки або упущення, а також за будь-які результати, отримані в результаті використання цієї інформації.
Інвестиції в цифрові активи можуть бути ризикованими. Будь ласка, ретельно оцініть ризики продукту та свою толерантність до ризику, виходячи з ваших власних фінансових обставин. Для отримання додаткової інформації, будь ласка, зверніться до наших Умов використання та Розкриття інформації про ризики.