Polymarket a été victime d'une attaque de hacker, le mécanisme de synchronisation des résultats des transactions on-chain et off-chain présente des failles.

Selon ChainCatcher, d'après la communauté chinoise de GoPlus, la plateforme de marché prédictif Polymarket a été attaquée par des hackers en raison d'une faille de conception dans le mécanisme de synchronisation des résultats des transactions on-chain et off-chain de son système de gestion des ordres.

Les attaquants ont manipulé le nonce, ce qui a permis d'annuler ou d'invalider les transactions appariées on-chain avant leur finalisation, alors que les enregistrements off-chain restaient valides. Cela a entraîné des erreurs de l'API, affectant le comportement de trading de robots tels que Negrisk, et causant des pertes pour les utilisateurs. Analyse du processus d'attaque : 1. L'attaquant soumet ou apparie une transaction importante en sens inverse avec le bot de market making sur le carnet d'ordres off-chain de Polymarket. 2. L'attaquant construit une transaction avec un nonce falsifié ou dupliqué, ou exploite la concurrence du nonce on-chain, ce qui garantit l'échec (revert) de la transaction on-chain. 3. L'API de Polymarket retourne un "succès de transaction" au bot avant la confirmation on-chain, ce qui fait croire au bot que la position est couverte, alors que l'état on-chain n'a pas encore changé. 4. L'attaquant exécute ensuite une véritable transaction on-chain pour prendre la position exposée du bot, réalisant ainsi un profit "sans risque". 5. Comme le revert se produit au niveau de la blockchain, les frais de Polymarket n'explosent pas, le coût de l'attaque reste contrôlable et l'opération peut être répétée. GoPlus recommande aux utilisateurs de suspendre l'utilisation d'outils de trading automatisés, de vérifier l'état des transactions on-chain, de renforcer la sécurité de leur portefeuille et de suivre de près les annonces officielles de Polymarket.