Na-hack ang Polymarket, may depekto ang mekanismo ng pagsi-synchronize ng resulta ng off-chain at on-chain na transaksyon

ChainCatcher balita, ayon sa GoPlus Chinese Community, ang prediction market platform na Polymarket ay inatake ng hacker dahil sa design flaw sa mekanismo ng pag-synchronize ng off-chain at on-chain na resulta ng mga transaksyon sa kanilang order system.

Ginamit ng attacker ang nonce manipulation upang kanselahin o gawing invalid ang on-chain matched trades bago ito ma-finalize, ngunit nananatiling valid ang off-chain records, na nagdudulot ng maling ulat mula sa API at nakaapekto sa trading behavior ng mga trading bot gaya ng Negrisk, na nagdulot ng pagkalugi sa mga user. Ang proseso ng pag-atake ay ang mga sumusunod: 1. Nag-submit/nag-match ang attacker ng malaking reverse trade laban sa market making bot sa Polymarket off-chain orderbook. 2. Gumawa ang attacker ng trade na may pekeng/duplicate nonce o gumamit ng on-chain nonce competition upang siguraduhing magre-revert ang on-chain transaction. 3. Bago pa makumpirma sa on-chain, nagbabalik na agad ang Polymarket API ng “successful trade” sa bot, kaya akala ng bot ay na-hedge na ang posisyon, pero hindi pa talaga nababago ang on-chain state. 4. Pagkatapos nito, kinukuha ng attacker gamit ang totoong on-chain transaction ang exposed direction ng bot para kumita ng “walang risk.” 5. Dahil nangyayari ang revert sa chain layer, hindi sumasabog ang Polymarket fees, kaya kontrolado ang attack cost at maaaring ulit-ulitin. Inirerekomenda ng GoPlus na itigil muna ng mga user ang paggamit ng automated trading tools, i-verify ang on-chain transaction status, palakasin ang wallet security, at tutukan ang mga opisyal na anunsyo ng Polymarket.