Polymarket sofre ataque hacker devido a falha no mecanismo de sincronização de resultados de negociações on-chain e off-chain

De acordo com a GoPlus Chinese Community, conforme noticiado pela ChainCatcher, a plataforma de mercado de previsões Polymarket foi alvo de um ataque hacker devido a uma falha de design no mecanismo de sincronização de resultados de transações off-chain e on-chain em seu sistema de ordens.

O atacante manipulou o nonce, fazendo com que as transações correspondentes on-chain fossem canceladas ou invalidadas antes de serem confirmadas, enquanto os registros off-chain permaneciam válidos. Isso levou a relatórios incorretos pela API, afetando o comportamento de bots de negociação como o Negrisk e resultando em perdas para os usuários. A análise do processo de ataque é a seguinte: 1. O atacante envia/corresponde grandes ordens opostas ao bot de market making no orderbook off-chain da Polymarket. 2. O atacante constrói transações com nonce falso/duplicado ou explora a competição de nonce on-chain, garantindo que a transação on-chain seja revertida. 3. A API da Polymarket retorna “transação bem-sucedida” ao bot antes da confirmação on-chain, fazendo o bot acreditar que a posição foi hedgeada, quando na verdade o estado on-chain ainda não mudou. 4. O atacante então executa uma transação real on-chain para capturar a direção exposta pelo bot, obtendo lucro “sem risco”. 5. Como o revert ocorre na camada da blockchain, as taxas da Polymarket não explodem, tornando o custo do ataque controlável e permitindo execuções contínuas. A GoPlus recomenda que os usuários pausem ferramentas de negociação automatizada, verifiquem o status das transações on-chain, reforcem a segurança das carteiras e acompanhem atentamente os anúncios oficiais da Polymarket.