ChainCatcher 消息,据 GoPlus 中文社区报道,预测市场平台 Polymarket 因订单系统中链下与链上交易结果同步机制的设计缺陷遭到黑客攻击。
攻击者通过 nonce 操纵,使链上匹配交易在落地前被取消或失效,但链下记录仍有效,导致 API 误报,影响 Negrisk 等交易机器人的交易行为,导致用户损失。攻击过程分析如下:1. 攻击者在 Polymarket off-chain orderbook 上提交/撮合与做市 bot 的大额反向交易。2. 攻击者构造带伪造/重复 nonce 的交易或利用链上 nonce 竞争,使链上交易必然 revert。3. Polymarket API 在链上确认前即返回 “成交成功” 给 bot,导致 bot 认为仓位已对冲,但实际链上状态尚未改变。4. 攻击者随后以真实链上交易吃掉 bot 暴露的方向,从而“无风险”获利。5. 因为 revert 发生在链层,Polymarket 费用不会爆炸,攻击成本可控且能持续执行。GoPlus 建议用户暂停自动化交易工具,验证链上交易状态,加强钱包安全,并密切关注 Polymarket 官方公告。
