Trang chủ
Tin tức
Chi tiết

Polymarket bị tấn công do lỗ hổng đồng bộ hóa ngoài chuỗi và trên chuỗi

iconTechFlow
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconTóm tắt

expand icon
Polymarket đã bị xâm phạm bảo mật do lỗ hổng trong đồng bộ hóa dữ liệu off-chain và on-chain. Các kẻ tấn công đã khai thác sự không khớp nonce để hủy các giao dịch on-chain trong khi các bản ghi off-chain vẫn hợp lệ, dẫn đến lỗi API và gián đoạn bot. Phân tích on-chain tiết lộ các giao dịch ngược lớn và nonce giả mạo được sử dụng để kích hoạt việc hoàn lại. Người dùng được khuyến nghị ngừng sử dụng các công cụ tự động, xác minh dữ liệu on-chain và bảo mật ví.

Theo báo cáo từ cộng đồng GoPlus tiếng Trung, nền tảng thị trường dự đoán Polymarket đã bị tấn công do lỗ hổng thiết kế trong cơ chế đồng bộ hóa kết quả giao dịch off-chain và on-chain trong hệ thống lệnh. Kẻ tấn công thao túng nonce, khiến các giao dịch được khớp trên chuỗi bị hủy hoặc vô hiệu trước khi thực thi, trong khi hồ sơ off-chain vẫn giữ nguyên, dẫn đến việc API báo sai thông tin và ảnh hưởng đến hành vi giao dịch của các robot giao dịch như Negrisk, gây tổn thất cho người dùng. Phân tích quá trình tấn công như sau: 1. Kẻ tấn công gửi/đối chiếu các lệnh ngược chiều lớn với bot làm thị trường trên off-chain orderbook của Polymarket. 2. Kẻ tấn công tạo giao dịch có nonce giả mạo/lặp lại hoặc khai thác cạnh tranh nonce trên chuỗi để đảm bảo giao dịch on-chain chắc chắn bị revert. 3. API của Polymarket trả về “giao dịch thành công” cho bot trước khi xác nhận trên chuỗi, khiến bot tin rằng vị thế đã được phòng hộ, trong khi trạng thái trên chuỗi chưa thay đổi. 4. Sau đó, kẻ tấn công thực hiện giao dịch thật trên chuỗi để ăn vào hướng vị thế mà bot đã phơi bày, từ đó kiếm lợi “không rủi ro”. 5. Vì revert xảy ra ở tầng chuỗi, phí của Polymarket không tăng đột biến, chi phí tấn công kiểm soát được và có thể thực hiện liên tục. GoPlus khuyến nghị người dùng tạm dừng các công cụ giao dịch tự động, xác minh trạng thái giao dịch trên chuỗi, tăng cường bảo mật ví và theo dõi sát các thông báo chính thức từ Polymarket.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.