Die Geister von Polymarket: Wenn Off-Chain-Matches auf On-Chain-Reverts treffen

Zusammenfassung

Polymarket hat sich zu einer prominenten Prognosemarkt-Plattform und einer der am schnellsten wachsenden Anwendungen im DeFi-Bereich entwickelt. Um einen Handel mit geringer Latenz zu ermöglichen, setzt es eine hybride Architektur ein, die Aufträge außerhalb der Kette abgleicht, aber zur endgültigen Ausführung auf der Kette abrechnet. Dieses Design erzeugt eine Konsistenzlücke, die wir als „Ghost Fills“ bezeichnen: Ein Auftrag, der außerhalb der Kette erfolgreich abgeglichen wurde, kann später während der Abrechnung auf der Kette scheitern. Um die Sicherheitsauswirkungen dieser Lücke zu verstehen, untersuchen wir solche fehlgeschlagenen Abrechnungen, indem wir GHOSTHUNTER entwickeln, das diese aus On-Chain-Spuren rekonstruiert und konkreten Angriffsmustern zuordnet. In 1.952.440 rückgängig gemachten Match-Order-Transaktionen stellen wir fest, dass Angreifer die zeitliche Lücke zwischen Abgleich und Abrechnung ausnutzen, um bereits abgeglichene Aufträge zu annullieren, bevor sie auf der Kette finalisiert werden. Aus diesen Vorfällen identifizieren wir vier Angriffsvektoren: Nonce Bump, Balance Drain, Allowance Revoke und Proxy Trap, die in 35 sich weiterentwickelnden Varianten realisiert werden. Diese Vektoren ermöglichen es Angreifern, 980.133 ausgeführte Aufträge selektiv rückgängig zu machen, was risikofreie Vorhersagen, die Jagd auf Arbitrage-Bots und die Manipulation von Liquiditätsbelohnungen ermöglicht, wodurch ein Gewinn von mindestens 1,49 M USD erzielt wird. Dies setzt 1,78 Mrd. USD einem Risiko aus und führt zu Zahlungen des Betreibers in Höhe von 2,17 M POL (etwa 212.000 USD). Während der Hauptverkehrszeiten wurden mehr als 24,3 % aller ausgeführten Aufträge rückgängig gemacht, was faktische DoS-Angriffe verursacht. Wir stellen auch fest, dass Code, der von dem fehlerhaften Vertrag abgeleitet ist, weiterhin in 167 unabhängigen Verträgen über 10 Chains vorkommt, die mindestens 23 M USD an Nutzergeldern halten, wodurch die Auswirkungen über Polymarket hinausgehen. Wir haben unsere Beweise den betroffenen Parteien offengelegt, und das Problem wurde teilweise entschärft.

English

Polymarket has emerged as a prominent prediction market platform and one of the fastest-growing applications in DeFi. To achieve low-latency trading, it adopts a hybrid architecture that matches orders off-chain but settles them on-chain for final execution. This design creates a consistency gap we call Ghost Fills: an order that is successfully matched off-chain may later fail during on-chain settlement. To understand the security implications of this gap, we investigate such failed settlements by building GHOSTHUNTER, which reconstructs them from on-chain traces and attributes to concrete attack patterns. Across 1,952,440 reverted match-order transactions, we find that attackers exploit the time gap between matching and settlement to invalidate already matched orders before they are finalized on-chain. We then identify four attack vectors from these incidents: nonce bump, balance drain, allowance revoke, and proxy trap, realized via 35 evolving variants. These vectors allow attackers to selectively revert 980,133 filled orders, enabling risk-free prediction, arbitrage-bot hunting, and liquidity reward manipulation, realizing at least \1.49M in profit, which places 1.78 B USD at risk and 2.17 M POL (about \212 K) paid by operator. During peak hours, more than 24.3% of all filled orders reverted, causing de facto DoS attacks. We also find that code derived from the flawed contract still appears in 167 independent contracts across 10 chains holding at least 23 M in user funds, extending the impact beyond Polymarket. We have disclosed our evidence to affected parties, and the issue has been partially mitigated.