Транзакція в розмірі 0,1 долара може призвести до того, що арбітражі Polymarket втратять все

Автор: Френк, PANews

Транзакція в ланцюжку, вартістю менше 0,1 долара, може миттєво знищити ринкові ордери на десятки тисяч доларів з книги ордерів Polymarket. Це не теоретичний висновок, а реальність, яка відбувається.

У лютому 2026 року гравець розповів у соціальних мережах про новий тип атаки проти арбітражників Polymarket. Блогер BuBBliK назвав її «елегантною та жорстокою», оскільки зловмиснику потрібно заплатити менше 0,1 долара комісійних зборів Gas у мережі Polygon, щоб завершити цикл атаки приблизно за 50 секунд. Жертви, ці арбітражі та автоматизовані торгові боти, які розміщують реальні грошові ордери купівлі та продажу в книзі ордерів, стикаються з численними ударами, включаючи примусове видалення ордерів, пасивне розкриття позицій і навіть прямі збитки.

PANews перевірив адресу зловмисника, позначену спільнотою, і виявив, що обліковий запис був зареєстрований у лютому 2026 року, брав участь у торгах лише на 7 ринках, але зафіксував загальний прибуток у розмірі 16 427 доларів, причому основний прибуток був отриманий менш ніж за добу. Коли лідер прогнозного ринку вартістю 9 мільярдів доларів може втратити свою ліквідність через кілька центів, це свідчить про набагато більше, ніж просто технічний недолік.

PANews детально розгляне технічні механізми, економічну логіку та потенційний вплив цієї атаки на індустрію ринків прогнозів.

Як відбувається атака: Точне полювання з використанням "різниці в часі"

Щоб зрозуміти цю атаку, спочатку потрібно усвідомити процес торгівлі на Polymarket. На відміну від більшості децентралізованих бірж, Polymarket використовує гібридну архітектуру "співставлення ордерів поза ланцюжком + розрахунки на ланцюжку", щоб надати користувачам досвід, близький до централізованих бірж. Користувачі розміщують ордери та миттєво узгоджують їх поза ланцюжком, і лише остаточне розрахункове фінансування надсилається на ланцюжок Polygon для виконання. Ця конструкція дозволяє користувачам насолоджуватися розміщенням ордерів без комісій за газ та миттєвими транзакціями, але також створює "різниця в часі" від кількох секунд до більше ніж десяти секунд між позаланцюжковими та ланцюжковими операціями, на що орієнтується зловмисник.

Логіка атаки не є складною. Спочатку зловмисник розміщує звичайний ордер на покупку або продаж через API, і на цьому етапі позаланцюжкова система перевіряє, що підпис і баланс у порядку, тому вона узгоджується з іншими ордерами маркет-мейкерів у книзі ордерів. Однак майже одночасно зловмисник ініціює передачу USDC на ланцюжку з надзвичайно високою комісією за газ, викачуючи всі гроші зі свого гаманця. Оскільки комісія за газ набагато вища, ніж у стандартних налаштуваннях релеєра платформи, ця транзакція "викачування" спочатку підтверджується мережею. До того, як релеєр подає результат відповідності в ланцюжку блоків, гаманець зловмисника вже порожній, і транзакція не вдається і скасовується через недостатній баланс.

Якби історія закінчилася тут, це було б просто марною тратою комісії за газ маленького релеєра. Але справді фатальним кроком є те, що, хоча транзакція не вдається в ланцюжку блоків, офчейн-система Polymarket насильно видаляє всі невинні ордери маркетмейкерів, залучені в цей невдалий матч, з книги ордерів. Іншими словами, зловмисник використовує транзакцію, яка приречена на невдачу, щоб "одним кліком очистити" ордери на покупку та продаж, які інші розмістили за реальні гроші.

Для порівняння: це як голосно робити ставку на аукціоні, а в момент, коли молоток падає, обернутися і сказати "у мене немає грошей", але аукціонний дім конфіскує всі жетони інших нормальних учасників торгів, що призводить до зриву аукціону.

Варто зазначити, що пізніше спільнота виявила "покращений варіант" цієї атаки, який отримав назву "Ghost Fills". Зловмиснику більше не потрібно поспішати з переказом, але він безпосередньо викликає функцію "скасувати всі ордери" в контракті після того, як ордер був узгоджений офчейн і до розрахунку в ланцюжку блоків, роблячи свої ордери миттєво недійсними, досягаючи того ж ефекту. Більш хитро, зловмисник може розміщувати ордери на декількох ринках одночасно, спостерігати за тенденціями цін і зберігати лише вигідні ордери для нормальної реалізації, скасовуючи невдалі за допомогою цього методу, по суті створюючи безкоштовну опцію "перемога без втрат".

"Економіка" атаки: Витративши кілька центів, отримав прибуток у розмірі 16 000 доларів

Окрім безпосереднього виконання ордерів маркет-мейкера, ця десинхронізація стану поза ланцюжком і на ланцюжку також використовується для полювання на автоматизовані торгові боти. Згідно з даними групи безпеки GoPlus, до уражених ботів належать Negrisk, ClawdBots, MoltBot та інші.

Очищення ордерів інших учасників і створення "привидів заповнення" з боку зловмисника безпосередньо не приносить прибутку, тож як насправді заробляються гроші?

PANews з'ясувало, що шлях до прибутку зловмисника в основному має два маршрути.

Перший - "монополізація маркет-мейкерства після очищення". За звичайних обставин книга ордерів популярного ринку прогнозів міститиме кілька маркет-мейкерів, які конкурують за ордери, причому різниця між найкращими цінами купівлі та продажу зазвичай дуже мала, наприклад, ордер на покупку за ціною 0,49 долара та ордер на продаж за ціною 0,51 долара, причому маркет-мейкери отримують невеликий прибуток від різниці в 0,02 долара. Зловмисник неодноразово ініціює "транзакції, які приречені на провал", примусово очищаючи всі ці конкуруючі ордери. На цьому етапі книга ордерів стає вакуумом, і зловмисник негайно розміщує ордери на покупку та продаж зі свого облікового запису, але різниця значно збільшується, наприклад, ордер на покупку за ціною 0,40 долара та ордер на продаж за ціною 0,60 долара. Інші користувачі, яким потрібно торгувати, не маючи кращих котирувань, не мають іншого вибору, окрім як прийняти цю ціну, і зловмисник отримує прибуток від цієї "монопольної різниці" у розмірі 0,20 долара. Ця модель повторюється: очищення, монополізація, прибуток, а потім знову очищення.

Другий шлях отримання прибутку є більш прямим, а саме "полювання на хеджувальні боти". Щоб проілюструвати це конкретним прикладом: припустимо, що ціна на "Так" на ринку становить 0,50 дол. США, зловмисник розміщує замовлення на купівлю "Так" на суму 10 000 дол. США через API на бота, що формує ринок. Після того, як офчейн-система підтверджує відповідність, API негайно повідомляє боту: "Ви продали 20 000 акцій "Так"". Отримавши сигнал, бот, щоб хеджувати свій ризик, негайно купує 20 000 акцій "Ні" на іншому суміжному ринку, щоб зафіксувати прибуток. Але потім зловмисник спричиняє те, що замовлення на купівлю на суму 10 000 дол. США не виконується і скасовується в ланцюжку, що означає, що бот насправді не продав жодних "Так", і його раніше вважалася хеджованою позиція тепер стає гола одностороння ставка, утримуючи лише 20 000 акцій "Ні" без відповідної короткою позиції для захисту. Тоді зловмисник може торгувати на ринку, отримуючи прибуток від того, що бот змушений продавати ці незахищені позиції або безпосередньо арбітрувати відхилення ціни.

З точки зору витрат, кожен цикл атаки вимагає менше 0,1 дол. США в комісіях Gas у мережі Polygon, причому кожен цикл триває близько 50 секунд, теоретично дозволяючи виконувати близько 72 циклів на годину. Один зловмисник створив "систему подвійного циклу гаманця" (хаб циклу A і хаб циклу B, що працюють по черзі), досягнувши повністю автоматизованих атак високої частоти. Вже було зафіксовано сотні невдалих транзакцій у ланцюжку.

З точки зору прибутку, відстежена PANews адреса зловмисника показує, що обліковий запис був нещодавно зареєстрований у лютому 2026 року, брав участь лише в 7 ринках, але при цьому отримав загальний прибуток у розмірі 16 427 $, причому максимальний одноразовий прибуток становив 4415 $, а основна діяльність із отримання прибутку була зосереджена в дуже короткий проміжок часу. Іншими словами, зловмисник використав загальну вартість Gas, яка, можливо, становила менше 10 $, щоб отримати прибуток у розмірі понад 16 000 $ за день. І це лише одна відмічена адреса; фактична кількість адрес, залучених до атаки, і загальна сума прибутку можуть бути набагато більшими.

Що стосується постраждалих маркет-мейкерів, то їхні збитки ще важче піддаються кількісній оцінці. Трейдери, які використовують 5-хвилинні боти для торгівлі BTC у спільноті Reddit, повідомили про збитки в розмірі "тисячі доларів". Більш глибока шкода полягає в альтернативних витратах через те, що їм часто доводиться скасовувати замовлення, а також у витратах на операції, пов'язані з необхідністю коригування стратегій створення ринку.

Більш складна проблема полягає в тому, що ця вразливість є проблемою в основній конструкції механізму Polymarket, яку неможливо вирішити в короткостроковій перспективі. Оскільки цей метод атаки став публічним, подібні атаки ставатимуть все більш поширеними, що ще більше погіршить і без того крихку ліквідність Polymarket.

Самодопомога спільноти, попередження та мовчання платформи

Наразі Polymarket не опублікувала детальну заяву або план виправлення щодо цієї атаки на замовлення, а деякі користувачі заявили в соціальних мережах, що про цю помилку повідомлялося кілька разів місяці тому, але ніхто не звернув на це уваги. Варто зазначити, що раніше Polymarket вирішив відмовитися від відшкодування коштів у разі виникнення інциденту "атаки на управління" (маніпуляція голосуванням в UMA Oracle).

За відсутності офіційних дій спільнота почала шукати власні рішення. Спільнотний розробник спонтанно створив інструмент моніторингу з відкритим вихідним кодом під назвою "Nonce Guard", який може відстежувати операції з анулювання замовлень у ланцюжку Polygon у реальному часі, створювати чорний список адрес зловмисників і надавати загальні попереджувальні сигнали для торгових ботів. Однак це рішення по суті є латкою для покращення моніторингу і не вирішує такі проблеми в корені.

У порівнянні з іншими методами арбітражу, потенційний вплив цього методу атаки може бути ще більш глибоким.

Для маркет-мейкерів важко зароблені замовлення можуть бути масово скасовані без попередження, а стабільність і передбачуваність стратегій створення ринку повністю втрачаються, що може безпосередньо підірвати їхню готовність продовжувати забезпечувати ліквідність на Polymarket.

Для користувачів, які використовують автоматизовані торгові боти, сигнали про транзакції, що повертаються через API, більше не є надійними, тоді як звичайні користувачі можуть зазнати значних втрат через раптове зникнення ліквідності під час торгів.

Для самої платформи Polymarket, коли маркет-мейкери неохоче розміщують замовлення, а боти вагаються з хеджуванням, глибина книги замовлень неминуче зменшується, що ще більше погіршує цей погіршуючий цикл.