Менше ніж 1 цент зруйнував ліквідність понад 10 000 доларів США, атака на ордери може виснажити маркет-мейкера Polymarket

Автор: Frank, PANews

Менш ніж за 0,1 долара на блокчейні можна миттєво стерти ордербук з цінністю у десятки тисяч доларів на Polymarket. Це не теоретичний сценарій, а реальність, що відбувається прямо зараз.
У лютому 2026 року один з користувачів у соцмережах викрив новий тип атаки на маркетмейкерів Polymarket. Блогер BuBBliK описав її як «елегантну та жорстоку», оскільки зловмисник може за менше ніж 0,1 долара газових витрат у мережі Polygon завершити цикл атаки за приблизно 50 секунд, тоді як жертви — маркетмейкери та автоматичні торгові боти, що виставляють реальні гроші на ордери, — ризикують втратити свої ордери або зазнати пасивних збитків.
ПАНews дослідив адресу атаки, позначену в соцмережах, і з’ясував, що цей акаунт був зареєстрований у лютому 2026 року, брав участь лише у 7 ринках, але вже отримав загальний прибуток у 16 427 доларів, причому основний дохід був отриманий за один день. Коли провідний прогнозний ринок із оцінкою у 9 мільярдів доларів має таку вразливість, це виявляє не лише технічний недолік, а й глибші проблеми системи.
PANews детально розгляне технічний механізм цієї атаки, її економічну логіку та потенційний вплив на індустрію прогнозних ринків.
Як відбувається атака: точне полювання за «часовою різницею»
Щоб зрозуміти цю атаку, потрібно спершу ознайомитися з процесом торгів у Polymarket. На відміну від більшості децентралізованих бірж, Polymarket прагне забезпечити користувачам досвід, близький до централізованих бірж, і використовує гібридну архітектуру «офчейн-мішування + ончейн-розрахунок»: ордери та їхнє узгодження відбуваються миттєво поза ланцюгом, а фінальні розрахунки — лише на Polygon. Це дозволяє користувачам отримати безкоштовні ордери та миттєву торгівлю, але створює «часовий проміжок» у кілька секунд між офчейн-і ончейн-операціями, на який і націлюються зловмисники.
Логіка атаки досить проста. Зловмисник спершу через API робить звичайний ордер на купівлю або продаж, який офчейн-система підтверджує без проблем, порівнюючи його з іншими ордерами у книзі. Але майже одночасно він ініціює на ончейн транзакцію із дуже високими газовими витратами, щоб перевести всі кошти з його гаманця. Оскільки газові витрати значно перевищують стандартні налаштування платформи, ця транзакція швидко підтверджується мережею. Коли ж наступним кроком система офчейн підтверджує узгодження, гаманець зловмисника вже порожній, і транзакція скасовується через недостатність балансу.
Якщо б це була вся історія, це лише витрати на газ. Але справжня небезпека полягає в тому, що, хоча транзакція і не проходить у ланцюгу, офчейн-система Polymarket примусово видаляє усі ордери, що брали участь у цій невдалій угоді. Іншими словами, зловмисник за допомогою однієї невдалої транзакції «чистить» ордери інших, що виставляють реальні гроші.
Порівняння: це схоже на аукціон, де голосно кричать ціну, а коли аукціоніст клацає молотком і оголошує перемогу, раптом заявляють «у мене немає грошей», і всі інші учасники втрачають свої номери — і аукціон завершується без переможця.
Варто зазначити, що пізніше у соцмережах з’явилася інформація про «розширену версію» цієї атаки, названу «Ghost Fills» (привиди угод). Зловмисник уже не потребує швидкої трансакції — він просто викликає функцію «скасувати всі ордери» у контракті одразу після офчейн-узгодження, і його ордер миттєво стає недійсним, досягаючи того ж ефекту. Ще хитріше, що зловмисник може одночасно виставляти ордери у кількох ринках, спостерігати за ціновою динамікою і залишати лише вигідні ордери для успішної угоди, а ті, що не вигідні — скасовувати цим методом, створюючи фактично «безкоштовний опціон, що завжди вигідний».
«Економіка» атаки: кілька центів витрат — 16 тисяч доларів прибутку
Крім безпосереднього очищення ордерів маркетмейкерів, ця синхронізація офчейн і ончейн станів використовується для полювання на автоматичних торгових ботів. За даними команди безпеки GoPlus, під атаками опинилися боти Negrisk, ClawdBots, MoltBot та інші.
Якщо коротко, то прибуток зловмисника здебільшого отримується двома шляхами.
Перший — «монополізація ринку після очищення». У популярних прогнозних ринках багато маркетмейкерів виставляють ордери, і різниця між цінами buy і sell зазвичай невелика, наприклад, купівля за 49 доларів і продаж за 51 долар. Зловмисник, повторюючи невдалі транзакції, знищує конкурентів і створює вакуум у книзі. Тоді він виставляє свої ордери з великим розривом — наприклад, купівля за 40 доларів і продаж за 60 — і змушує інших користувачів приймати ці ціни, отримуючи прибуток у 20 доларів на кожній угоді. Цикл повторюється: очищення, монополізація, прибуток і знову очищення.
Другий — «полювання на хедж-ботів». Наприклад, якщо ціна «Yes» у ринку становить 50 центів, зловмисник через API купує 10 000 доларів «Yes» у маркетмейкера. Після підтвердження офчейн, API повідомляє боту, що він продав 20 тисяч акцій. Бот, щоб застрахуватися, миттєво купує у іншому ринку 20 тисяч «No». Але потім зловмисник скасовує цю ордер-купівлю у ланцюгу, і бот залишається без захисту — у нього є лише 20 тисяч «No», але без відповідної позиції «Yes». Тоді зловмисник може реально торгувати, використовуючи цей «пролом» у хеджуванні, або отримувати прибуток від різниці у цінових зсувів.
З точки зору витрат, кожен цикл атаки коштує менше ніж 0,1 долара газу в мережі Polygon, а тривалість — близько 50 секунд, що дозволяє виконувати до 72 циклів на годину. Один з атакуючих створив автоматизовану систему з двома гаманцями, що циклічно обмінюються, — і вже зафіксовано сотні невдалих транзакцій.
Щодо прибутків, дослідження показують, що один із зловмисників, який був позначений у соцмережах, за короткий час отримав понад 16 000 доларів прибутку, витративши менше ніж 10 доларів на газ. Це лише один із відомих адрес, і реальні масштаби можуть бути значно більшими.

Для постраждалих маркетмейкерів збитки важко підрахувати. У Reddit-спільноті трейдери, що використовують боти для торгівлі кожні 5 хвилин, повідомляють про збитки у кілька тисяч доларів. Глибша проблема — втрата можливостей через часті скасування ордерів і зміну стратегій, що призводить до додаткових витрат.
Ще більш тривожним є те, що цей недолік — внутрішня особливість архітектури Polymarket, і його важко швидко виправити. Зі зростанням популярності таких атак їхня частота й масштаб можуть значно збільшитися, що ще більше послабить вже й так вразливу ліквідність платформи.
Громадські ініціативи, попередження та мовчання платформи
На даний момент офіційна команда Polymarket не оприлюднила детального пояснення або плану виправлення цієї уразливості. Деякі користувачі у соцмережах повідомляють, що цей баг був відомий ще кілька місяців тому і неодноразово повідомлявся, але ігнорувався. Варто згадати, що раніше у випадках «громадських атак» (наприклад, маніпуляції з голосуваннями в UMA Oracle) Polymarket також відмовлявся повертати кошти.
У відсутності реакції з боку платформи, спільнота почала самостійно шукати рішення. Один із розробників створив відкритий інструмент «Nonce Guard», що моніторить скасування ордерів у Polygon, формує чорний список зловмисників і попереджає торгових ботів. Однак це — лише тимчасовий захід, що не вирішує проблему корінним чином.

У порівнянні з іншими видами арбітражу, цей спосіб атаки може мати більш глибокі наслідки.
Для маркетмейкерів — раптове масове очищення ордерів без попередження руйнує їхню стратегію і стабільність, що може знизити їхню мотивацію підтримувати ліквідність на Polymarket.
Для користувачів із автоматичними ботами — сигнали API стають недостовірними, а для звичайних трейдерів — раптове зникнення ліквідності може спричинити значні збитки.
Що стосується самої платформи, то зменшення кількості ордерів і зниження глибини книг призведе до ще більшого ослаблення ринку, створюючи порочне коло.