深潮 TechFlow のニュースによると、2月20日、予測市場プラットフォームのPolymarketが、オフチェーンとオンチェーンの取引結果の同期メカニズムに設計上の欠陥があるため、ハッカーの攻撃を受けたことが報告されました。攻撃者はnonceを操作し、オンチェーンのマッチング取引が確定前にキャンセルまたは無効化されるように仕向けましたが、オフチェーンの記録は有効のままであり、APIの誤報を引き起こし、Negriskなどの取引ロボットの取引行動に影響を与え、ユーザーに損失をもたらしました。攻撃の流れは以下の通りです。1. 攻撃者はPolymarketのオフチェーン注文簿にて、大口の逆方向取引を提出・マッチングさせ、マーケットメイカーのボットと取引を行う。2. 攻撃者は偽造または重複したnonceを持つ取引を構築するか、オンチェーンのnonce競争を利用し、オンチェーンの取引を必然的にリバートさせる。3. PolymarketのAPIはオンチェーンで確認される前に「取引成功」と返し、ボットはポジションがヘッジされたと誤認するが、実際のオンチェーンの状態は未だ変わっていない。4. 攻撃者はその後、実際のオンチェーン取引を用いてボットの露出した方向を消し、「リスクなし」で利益を得る。5. リバートはチェーン層で発生するため、Polymarketの手数料は爆発せず、攻撃コストも制御可能であり、継続的に実行できる。GoPlusは、ユーザーに対し自動取引ツールの一時停止を推奨し、オンチェーンの取引状況を検証し、ウォレットのセキュリティを強化し、Polymarketの公式発表に注意を払うよう呼びかけています。
GoPlus:Polymarketがハッキング被害を受ける、オフチェーンとオンチェーンの取引結果同期メカニズムに欠陥あり
深潮 TechFlow のニュースによると、2月20日、予測市場プラットフォームのPolymarketが、オフチェーンとオンチェーンの取引結果の同期メカニズムに設計上の欠陥があるため、ハッカーの攻撃を受けたことが報告されました。攻撃者はnonceを操作し、オンチェーンのマッチング取引が確定前にキャンセルまたは無効化されるように仕向けましたが、オフチェーンの記録は有効のままであり、APIの誤報を引き起こし、Negriskなどの取引ロボットの取引行動に影響を与え、ユーザーに損失をもたらしました。
攻撃の流れは以下の通りです。
攻撃者はPolymarketのオフチェーン注文簿にて、大口の逆方向取引を提出・マッチングさせ、マーケットメイカーのボットと取引を行う。
攻撃者は偽造または重複したnonceを持つ取引を構築するか、オンチェーンのnonce競争を利用し、オンチェーンの取引を必然的にリバートさせる。
PolymarketのAPIはオンチェーンで確認される前に「取引成功」と返し、ボットはポジションがヘッジされたと誤認するが、実際のオンチェーンの状態は未だ変わっていない。
攻撃者はその後、実際のオンチェーン取引を用いてボットの露出した方向を消し、「リスクなし」で利益を得る。
リバートはチェーン層で発生するため、Polymarketの手数料は爆発せず、攻撃コストも制御可能であり、継続的に実行できる。
GoPlusは、ユーザーに対し自動取引ツールの一時停止を推奨し、オンチェーンの取引状況を検証し、ウォレットのセキュリティを強化し、Polymarketの公式発表に注意を払うよう呼びかけています。