Les Fantômes de Polymarket : Quand les correspondances hors chaîne rencontrent les reverts sur chaîne

Résumé

Polymarket est devenu une plateforme de marché de prédiction de premier plan et l’une des applications à la croissance la plus rapide dans la DeFi. Pour parvenir à un trading à faible latence, elle adopte une architecture hybride qui apparie les ordres hors chaîne, mais les règle sur chaîne pour une exécution finale. Cette conception crée un écart de cohérence que nous appelons Ghost Fills : un ordre apparié avec succès hors chaîne peut échouer ultérieurement lors du règlement sur chaîne. Pour comprendre les implications de cet écart en matière de sécurité, nous étudions ces échecs de règlement en construisant GHOSTHUNTER, qui les reconstitue à partir de traces sur chaîne et les attribue à des schémas d’attaque concrets. Sur 1 952 440 transactions d’appariement d’ordres annulées, nous constatons que les attaquants exploitent le décalage temporel entre l’appariement et le règlement pour invalider des ordres déjà appariés avant leur finalisation sur chaîne. Nous identifions ensuite quatre vecteurs d’attaque à partir de ces incidents : incrémentation de nonce, vidage de solde, révocation d’autorisation et piège de proxy, réalisés via 35 variantes en évolution. Ces vecteurs permettent aux attaquants d’annuler sélectivement 980 133 ordres exécutés, permettant des prédictions sans risque, la chasse aux robots d’arbitrage et la manipulation des récompenses de liquidité, générant au moins 1,49 million de dollars de profit, ce qui expose 1,78 milliard de dollars à un risque et 2,17 millions de POL (environ 212 000 dollars) payés par l’opérateur. Aux heures de pointe, plus de 24,3 % de tous les ordres exécutés sont annulés, provoquant de facto des attaques par déni de service. Nous constatons également que du code dérivé du contrat défectueux apparaît encore dans 167 contrats indépendants répartis sur 10 chaînes, détenant au moins 23 millions de dollars de fonds utilisateurs, étendant ainsi l’impact au-delà de Polymarket. Nous avons divulgué nos preuves aux parties concernées, et le problème a été partiellement atténué.

English

Polymarket has emerged as a prominent prediction market platform and one of the fastest-growing applications in DeFi. To achieve low-latency trading, it adopts a hybrid architecture that matches orders off-chain but settles them on-chain for final execution. This design creates a consistency gap we call Ghost Fills: an order that is successfully matched off-chain may later fail during on-chain settlement. To understand the security implications of this gap, we investigate such failed settlements by building GHOSTHUNTER, which reconstructs them from on-chain traces and attributes to concrete attack patterns. Across 1,952,440 reverted match-order transactions, we find that attackers exploit the time gap between matching and settlement to invalidate already matched orders before they are finalized on-chain. We then identify four attack vectors from these incidents: nonce bump, balance drain, allowance revoke, and proxy trap, realized via 35 evolving variants. These vectors allow attackers to selectively revert 980,133 filled orders, enabling risk-free prediction, arbitrage-bot hunting, and liquidity reward manipulation, realizing at least \1.49M in profit, which places 1.78 B USD at risk and 2.17 M POL (about \212 K) paid by operator. During peak hours, more than 24.3% of all filled orders reverted, causing de facto DoS attacks. We also find that code derived from the flawed contract still appears in 167 independent contracts across 10 chains holding at least 23 M in user funds, extending the impact beyond Polymarket. We have disclosed our evidence to affected parties, and the issue has been partially mitigated.