Des utilisateurs du réseau social X signalent un prétendu exploit (fragment de code ou commande tirant parti d’une vulnérabilité pour compromettre un système) de la plateforme de paris Polymarket.
La vulnérabilité détectée modifierait artificiellement les probabilités des différents marchés, sans exécuter d’opérations réelles.
L’un des plaignants, connu dans X sous le nom de Lirrato et qui a alerté sur le problème depuis le 21 février et a parlé de cette vulnérabilité du marché. Il a spécifiquement cité le “Les cotes de nomination de Judy Shelton à la présidence de la Fed sont supérieures à ___ pour le 20 février ?” de PolyMarket.
Selon sa présentation, ce marché aurait été artificiellement gonflé de 0,6% à 30%, soit un bond de 5 000%. Cependant, au moment de l’examen de CriptoNoticias, le marché lié à « Judy Shelton et la FED » n’était pas disponible pour fonctionner sur le site Web de Polymarket.
Selon des captures d’écran partagées par Lirrato ce 23 février, sur le marché du « Premier ministre des Pays-Bas », le les probabilités seraient passées de 0,1% à 35%, soit une augmentation de 35 000%. Ceci, sans qu’aucun mouvement ne soit effectué dans Polygon, le réseau dans lequel Polymarket opère et où les fonds sont effectivement transférés.
L’exploit aurait pour but de modifier les chances de activer les robots d’arbitrage opérant sur Polymarket.
Ces programmes surveillent le carnet de commandes, détectant une demande supposée forte (comme une commande importante qui fait monter les quotas). Ils réagissent également automatiquement en achetant ou en ajustant leurs positions pour capter les différences de prix.
Selon Lirrato, l’exploit profiterait de ce comportement automatisé : simuler la demande pour que les robots agissentet faites également glisser d’autres utilisateurs, puis retirez la commande avant qu’elle ne soit terminée, laissant les robots exposés.
Si des tiers réagissent en croyant qu’il existe un réel intérêt à ce nouveau prix, l’acteur à l’origine du mouvement peut profiter de cette distorsion temporelle pour capter des profits. Ce serait le cas même si la transaction initiale n’était jamais réellement réglée en chaîne.
Selon la publication Lirrato, après le mouvement soudain sur le marché de “Judy Shelton et la FED”, l’équipe de Polymarket aurait prévenu de l’exploit présumé avec le message suivant :
«Polymarket est conscient d’une prouesse technique qui pourrait fausser artificiellement les prix. Tout prix résultant clairement de cet exploit, au lieu de refléter le véritable prix du marché sous-jacent, ne sera pas pris en compte pour la résolution du marché.
@itslirrato sur Twitter.
Lors du test d’autres paris, la plateforme a rejeté certaines tentatives de commande, même si elle en a approuvé d’autres. Il n’a pas été possible de vérifier par CriptoNoticias si les refus étaient liés à l’exploit présumé.
Au moment d’écrire ces lignes, l’équipe de Polymarket Ils ne publient pas de déclaration officielle à ce sujet..
Comment l’exploit fonctionnerait-il sur Polymarket ?
Selon le rapport de Lirrato, le problème serait lié au carnet d’ordres central (CLOB) utilisé par Polymarket.
Dans le système CLOB, les ordres d’achat et de vente sont comparés en dehors de la blockchain (c’est-à-dire sur des serveurs qui coordonnent les enchères des utilisateurs), tandis que Le règlement final de l’opération est enregistré dans Polygone.
Si la commande est annulée après avoir été appariée dans le carnet de commandes, mais avant que la transaction ne soit confirmée sur le réseau Polygon, une distorsion temporelle des probabilités peut se produire affiché par la plateforme, même si l’opération n’est jamais exécutée sur la chaîne.
C’est dans cette conception hybride que, selon les plaignants, la vulnérabilité apparaîtrait.
L’attaquant aurait passé une commande importante dans le carnet de commandes hors chaîne, ce qui amènerait le système à afficher de nouvelles probabilités et les robots d’arbitrage à réagir automatiquement, croyant que cet ordre sera exécuté.
Cependant, avant que la transaction ne soit réellement réglée sur Polygon, c’est-à-dire avant que l’argent ne change de mains sur la chaîne, l’utilisateur enverrait une transaction d’annulation à l’aide d’une fonction technique appelée « incrementNonce », qui invalide la commande précédemment signée. De cette façon, la commande aurait été exécutée hors chaîne, mais elle ne se concrétisera jamais sur la blockchain.
En termes simples, créez l’apparition d’un pari réel qui fait bouger les cotesmais l’annule avant que l’argent ne change de mains.
Une façon simple de comprendre cela est d’imaginer une vente aux enchères : quelqu’un lève la main et propose une somme très élevée, obligeant les autres à réajuster leurs enchères, mais juste avant de conclure la vente, il retire son offre. L’effet psychologique et le mouvement des prix se sont déjà produits, même s’il n’y a jamais eu d’opération réelle.
Le cycle complet de l’exploit ne coûterait que quelques dollars en frais de réseau, tandis que les robots qui réagiraient au mouvement se retrouveraient avec des positions ouvertes et des pertes potentielles plus élevées, a expliqué Lirrato.
Bug ou problème structurel ?
Un analyste de marché de Polymarket, connu dans X sous le nom de Bubblik, a également donné son point de vue sur l’exploit présumé sur cette plateforme.
Il a déclaré que le problème ne serait pas une simple erreur ponctuelle, mais une faiblesse architecturale. Selon sa description, puisqu’il n’existe pas de séquenceur central ni de moteur de gestion des risques pour garantir que les ordres appariés sont effectivement exécutés sur la chaîne, le système dépendrait de la confirmation finale dans Polygon, ce qui peut prendre quelques secondes.
En termes pratiques, Cela ouvrirait une fenêtre temporaire dans laquelle un acteur pourrait simuler la liquiditéprovoquer des mouvements dans les quotas puis invalider l’opération avant son exécution définitive.
Pour preuve, Bubblik a fourni une image de quels seraient les mouvements potentiels effectués par l’attaquant de Polymarket dans la chaîne Polygon :
Cependant, jusqu’à présent, l’absence de déclaration officielle de Polymarket nous empêche de connaître la véritable portée de l’exploit signalé.
Il reste à attendre une réponse de l’équipe de la plateforme de paris qui confirme, nie ou détaille ce qui s’est passé.
