De spoken van Polymarket: wanneer off-chain matches botsen met on-chain reverts

Samenvatting

Polymarket heeft zich ontwikkeld tot een prominent voorspellingsmarktplatform en een van de snelst groeiende toepassingen in DeFi. Om trading met lage latentie te realiseren, maakt het gebruik van een hybride architectuur waarbij orders off-chain worden gematcht, maar on-chain worden afgewikkeld voor definitieve uitvoering. Dit ontwerp creëert een consistentiekloof die wij Ghost Fills noemen: een order die met succes off-chain wordt gematcht, kan later mislukken tijdens de on-chain afwikkeling. Om de beveiligingsimplicaties van deze kloof te begrijpen, onderzoeken wij dergelijke mislukte afwikkelingen door GHOSTHUNTER te bouwen, die deze uit on-chain sporen reconstrueert en toeschrijft aan concrete aanvalspatronen. In 1.952.440 teruggedraaide match-order transacties ontdekken wij dat aanvallers het tijdsverschil tussen matchen en afwikkelen misbruiken om reeds gematchte orders ongeldig te maken voordat ze on-chain worden gefinaliseerd. Vervolgens identificeren wij vier aanvalsvectoren uit deze incidenten: nonce-verhoging, saldo-afvoer, toestemming-intrekking en proxy-val, gerealiseerd via 35 evoluerende varianten. Deze vectoren stellen aanvallers in staat om selectief 980.133 gevulde orders terug te draaien, wat risicovrije voorspelling, jacht op arbitrage-bots en manipulatie van liquiditeitsbeloningen mogelijk maakt, met een winst van ten minste 1,49 miljoen dollar. Hierdoor staat 1,78 miljard dollar aan risico bloot en heeft de operator 2,17 miljoen POL (ongeveer 212.000 dollar) betaald. Tijdens piekuren werd meer dan 24,3% van alle gevulde orders teruggedraaid, wat de facto DoS-aanvallen veroorzaakte. Wij vinden ook dat code die is afgeleid van het gebrekkige contract nog steeds voorkomt in 167 onafhankelijke contracten op 10 blockchains die ten minste 23 miljoen dollar aan gebruikersgelden bevatten, waardoor de impact verder reikt dan Polymarket. Wij hebben ons bewijs gedeeld met de betrokken partijen en het probleem is gedeeltelijk gemitigeerd.

English

Polymarket has emerged as a prominent prediction market platform and one of the fastest-growing applications in DeFi. To achieve low-latency trading, it adopts a hybrid architecture that matches orders off-chain but settles them on-chain for final execution. This design creates a consistency gap we call Ghost Fills: an order that is successfully matched off-chain may later fail during on-chain settlement. To understand the security implications of this gap, we investigate such failed settlements by building GHOSTHUNTER, which reconstructs them from on-chain traces and attributes to concrete attack patterns. Across 1,952,440 reverted match-order transactions, we find that attackers exploit the time gap between matching and settlement to invalidate already matched orders before they are finalized on-chain. We then identify four attack vectors from these incidents: nonce bump, balance drain, allowance revoke, and proxy trap, realized via 35 evolving variants. These vectors allow attackers to selectively revert 980,133 filled orders, enabling risk-free prediction, arbitrage-bot hunting, and liquidity reward manipulation, realizing at least \1.49M in profit, which places 1.78 B USD at risk and 2.17 M POL (about \212 K) paid by operator. During peak hours, more than 24.3% of all filled orders reverted, causing de facto DoS attacks. We also find that code derived from the flawed contract still appears in 167 independent contracts across 10 chains holding at least 23 M in user funds, extending the impact beyond Polymarket. We have disclosed our evidence to affected parties, and the issue has been partially mitigated.