TechFlow rapporte que, le 20 février, selon la surveillance effectuée par GoPlus, la plateforme de marchés prédictifs Polymarket a été victime d’une attaque de la part d’un pirate informatique en raison d’un défaut de conception dans le mécanisme de synchronisation entre les résultats des transactions hors chaîne et ceux sur chaîne au sein de son système de gestion des ordres. L’attaquant a manipulé les valeurs « nonce », provoquant l’annulation ou l’invalidation des transactions appariées sur chaîne avant leur finalisation, tandis que les enregistrements hors chaîne restaient valides. Cela a conduit à des erreurs de signalement via l’API, perturbant le comportement des robots de trading tels que Negrisk et causant des pertes pour les utilisateurs.
L’analyse du déroulement de l’attaque est la suivante :
1. L’attaquant soumet ou fait appairer, sur le carnet d’ordres hors chaîne de Polymarket, de gros ordres inverses avec les bots de marché.
2. L’attaquant forge des transactions comportant des valeurs « nonce » factices ou dupliquées, ou exploite la concurrence sur les valeurs « nonce » sur chaîne, afin de garantir le retour d’état « revert » (annulation) des transactions sur chaîne.
3. L’API de Polymarket renvoie prématurément le statut « transaction exécutée avec succès » aux bots, avant même la confirmation sur chaîne, ce qui incite les bots à croire que leurs positions ont été couvertes, alors que l’état réel sur chaîne n’a pas encore changé.
4. L’attaquant exécute ensuite, via des transactions réelles sur chaîne, des opérations profitant de la direction exposée par les bots, permettant ainsi un gain « sans risque ».
5. Comme le « revert » se produit au niveau de la couche blockchain, les frais liés à Polymarket ne connaissent pas d’explosion, ce qui rend le coût de l’attaque maîtrisable et permet sa répétition continue.
GoPlus recommande aux utilisateurs de suspendre temporairement l’utilisation d’outils de trading automatisés, de vérifier systématiquement l’état des transactions sur chaîne, de renforcer la sécurité de leurs portefeuilles et de suivre attentivement les annonces officielles publiées par Polymarket.
