تعرضت Polymarket لهجوم من قبل قراصنة بسبب وجود خلل في آلية مزامنة نتائج التداول بين السلسلة وخارج السلسلة

وفقًا لأخبار ChainCatcher، وبحسب ما أفاد به مجتمع GoPlus الصيني، تعرضت منصة سوق التوقعات Polymarket لهجوم من قبل قراصنة بسبب عيب في آلية مزامنة نتائج التداول بين النظام خارج السلسلة والسلسلة في نظام الطلبات.

استغل المهاجمون التلاعب بالـ nonce، مما أدى إلى إلغاء أو فشل صفقات المطابقة على السلسلة قبل تنفيذها، بينما بقيت السجلات خارج السلسلة سارية، مما تسبب في تقارير خاطئة من واجهة برمجة التطبيقات (API) وأثر على سلوك روبوتات التداول مثل Negrisk، وأدى إلى خسائر للمستخدمين. تحليل عملية الهجوم كالتالي: 1. يقوم المهاجم بتقديم/مطابقة صفقات كبيرة عكسية مع روبوتات صناعة السوق على دفتر الطلبات خارج السلسلة في Polymarket. 2. ينشئ المهاجم صفقات تحتوي على nonce مزورة/مكررة أو يستغل التنافس على nonce على السلسلة، مما يضمن فشل الصفقة على السلسلة (revert). 3. تقوم واجهة برمجة التطبيقات في Polymarket بإرجاع "نجاح الصفقة" للروبوت قبل التأكيد على السلسلة، مما يجعل الروبوت يعتقد أن مركزه قد تم التحوط له، بينما لم يتغير الوضع الفعلي على السلسلة بعد. 4. بعد ذلك، يقوم المهاجم بتنفيذ صفقة حقيقية على السلسلة للاستفادة من الاتجاه المكشوف للروبوت، ليحقق أرباحًا "بدون مخاطرة". 5. نظرًا لأن عملية revert تحدث على مستوى السلسلة، فإن رسوم Polymarket لن ترتفع بشكل كبير، وتظل تكلفة الهجوم تحت السيطرة ويمكن تنفيذها بشكل مستمر. توصي GoPlus المستخدمين بإيقاف أدوات التداول الآلي، والتحقق من حالة الصفقات على السلسلة، وتعزيز أمان المحافظ، ومتابعة إعلانات Polymarket الرسمية عن كثب.