根據 GoPlus 中文社區報導,預測市場平台 Polymarket 因訂單系統中鏈下與鏈上交易結果同步機制的設計缺陷遭到黑客攻擊。攻擊者透過 nonce 操縱,使鏈上匹配交易在落地前被取消或失效,但鏈下記錄仍有效,導致 API 誤報,影響 Negrisk 等交易機器人的交易行為,造成用戶損失。 攻擊過程分析如下: 1. 攻擊者在 Polymarket off-chain orderbook 上提交/撮合與做市 bot 的大額反向交易。 2. 攻擊者構造帶偽造/重複 nonce 的交易,或利用鏈上 nonce 競爭,使鏈上交易必然 revert。 3. Polymarket API 在鏈上確認前即返回「成交成功」給 bot,導致 bot 認為倉位已對沖,但實際鏈上狀態尚未改變。 4. 攻擊者隨後以真實鏈上交易吃掉 bot 暴露的方向,從而「無風險」獲利。 5. 因為 revert 發生在鏈層,Polymarket 費用不會爆炸,攻擊成本可控且能持續執行。 GoPlus 建議用戶暫停自動化交易工具,驗證鏈上交易狀態,加強錢包安全,並密切關注 Polymarket 官方公告。
Polymarket 因鏈下與鏈上同步漏洞遭駭
TechFlow分享
精華摘要
Polymarket 因其鏈下與鏈上資料同步存在漏洞而遭受安全攻擊。攻擊者利用不匹配的 nonce 取消鏈上交易,而鏈下記錄仍保持有效,導致 API 錯誤和機器人中斷。鏈上分析顯示,大規模反向交易及偽造的 nonce 被用來觸發回滾。建議用戶停止使用自動化工具,核對鏈上資料,並確保錢包安全。
來源:顯示原文
免責聲明:本頁面資訊可能來自第三方,不一定反映KuCoin的觀點或意見。本內容僅供一般參考之用,不構成任何形式的陳述或保證,也不應被解釋為財務或投資建議。 KuCoin 對任何錯誤或遺漏,或因使用該資訊而導致的任何結果不承擔任何責任。
虛擬資產投資可能存在風險。請您根據自身的財務狀況仔細評估產品的風險以及您的風險承受能力。如需了解更多信息,請參閱我們的使用條款和風險披露 。