Polymarket verfügt über einen bekannten Exploit, bei dem Angreifer incrementNonce() auf der CTF-Börse verwenden, um verlorene Aufträge zu stornieren, nachdem sie bereits im Off-Chain-Auftragsbuch abgeglichen wurden. Dies wurde am 19. Februar öffentlich bekannt gegeben und hat Händler Tausende gekostet.
Wenn Sie Bots auf den BTC-5-Minuten-Märkten von Polymarket betreiben, haben Sie möglicherweise „Ghost Fills“ erlebt – Aufträge, die auf dem CLOB übereinstimmen, aber nie in der Kette abgewickelt werden.
Der Exploit: Bösewichte rufen incrementNonce() im CTF-Exchange-Vertrag auf, um ihre verlorenen Aufträge nach dem Abgleich ungültig zu machen. Es bleiben weiterhin nur Gewinnerseiten.
Ich habe Nonce Guard entwickelt – ein kostenloses Open-Source-Überwachungstool, das:
- Überwacht Polygonblöcke in Echtzeit auf incrementNonce()-Aufrufe
- Erstellt Blacklists für Exploiter-Adressen
- Gibt universelle Warnungen aus (Datei/Socket/Webhook), die jeder Bot verarbeiten kann
- Inklusive Kontrahentenprüfung
Repo: https://github.com/TheOneWhoBurns/polymarket-nonce-guard
MIT-lizenziert. Funktioniert mit jedem Polymarket-Bot.
Built an open-source tool to detect a known Polymarket exploit (incrementNonce ghost fills)
byu/Vanadium_Hydroxide inCryptoCurrency