Une transaction de 0,1 dollar peut faire perdre tout le capital du market maker de Polymarket.

作者：Frank，PANews

Une transaction on-chain de moins de 0,1 dollar peut instantanément effacer des ordres de marché valant des dizaines de milliers de dollars du carnet d’ordres de Polymarket. Ce n’est pas une théorie, mais une réalité en cours.

En février 2026, un utilisateur a révélé sur les réseaux sociaux une nouvelle méthode d’attaque contre les market makers de Polymarket. Le blogueur BuBBliK l’a qualifiée d’« élégante & brutale », car l’attaquant n’a besoin de payer que moins de 0,1 dollar de frais de Gas sur le réseau Polygon pour réaliser une boucle d’attaque en environ 50 secondes. Les victimes, ces market makers et bots de trading automatique affichant de véritables ordres d’achat et de vente, subissent alors des suppressions d’ordres, une exposition passive de leurs positions, voire des pertes directes.

PANews a examiné une adresse d’attaquant signalée par la communauté. Celle-ci a été créée en février 2026, n’a participé qu’à 7 marchés, mais a déjà enregistré un profit total de 16 427 dollars, la majorité étant réalisé en une journée. Alors qu’un marché de prédiction valorisé à 9 milliards de dollars repose sur une liquidité fragile, cette vulnérabilité dépasse largement un simple bug technique.

PANews analysera en profondeur le mécanisme technique, la logique économique et l’impact potentiel de cette attaque sur l’industrie des marchés de prédiction.

Comment l’attaque se produit : une chasse précise exploitant le « décalage temporel »

Pour comprendre cette attaque, il faut d’abord connaître le processus de trading de Polymarket. Contrairement à la plupart des DEX, Polymarket cherche à offrir une expérience utilisateur proche de celle d’une plateforme centralisée, en utilisant une architecture hybride « matching off-chain + règlement on-chain ». Les ordres sont passés et appariés instantanément hors chaîne, seule la livraison finale des fonds étant soumise à la blockchain Polygon. Ce design permet une expérience fluide avec des ordres sans frais de Gas et des transactions en secondes, mais crée aussi un décalage temporel de quelques secondes à une dizaine de secondes entre hors chaîne et on-chain, que l’attaquant exploite.

Le principe est simple. L’attaquant place d’abord une ordre d’achat ou de vente via l’API, qui est validée par la vérification de la signature et du solde hors chaîne. L’ordre est alors apparié avec d’autres ordres sur le carnet. Mais presque simultanément, l’attaquant initie une transaction on-chain avec des frais de Gas très élevés pour transférer tout l’argent de son portefeuille. Étant donné que ces frais dépassent largement la configuration par défaut du relais, cette transaction est confirmée en priorité. Lorsque le relais soumet le résultat de l’appariement, le portefeuille de l’attaquant est déjà vidé, et la transaction échoue par manque de fonds, ce qui entraîne un rollback.

Si cette étape s’arrêtait là, ce ne serait qu’une dépense de Gas sans conséquence majeure. Mais le vrai problème survient lorsque, malgré l’échec on-chain, le système hors chaîne de Polymarket force la suppression de tous les ordres des market makers impliqués dans cette transaction ratée. En d’autres termes, avec une seule transaction vouée à l’échec, l’attaquant peut vider le carnet d’ordres de ses concurrents, qui ont affiché de l’argent réel.

Pour faire une analogie : c’est comme crier en haut d’une salle d’enchères, puis, au moment où le marteau tombe, faire semblant de dire « je n’ai plus d’argent », tout en se faisant confisquer les numéros des autres enchérisseurs, ce qui annule toute l’enchère.

Il est aussi important de noter qu’une version améliorée de cette attaque, baptisée « Ghost Fills » (Transactions Fantômes), a été découverte. L’attaquant n’a plus besoin de précipiter la transaction de transfert, mais peut, après l’appariement hors chaîne et avant le règlement on-chain, utiliser une fonction du contrat intelligent pour « annuler toutes ses commandes en un clic », rendant ses ordres instantanément invalides. Plus rusé encore, l’attaquant peut placer des ordres dans plusieurs marchés, observer l’évolution des prix, ne conserver que ceux qui sont favorables, et annuler les autres, créant ainsi une sorte d’option gratuite « gagnant-gagnant ».

La « logique économique » de l’attaque : quelques cents pour 16 000 dollars de profit

Outre la suppression directe des ordres des market makers, cette désynchronisation entre l’état hors chaîne et on-chain est aussi utilisée pour cibler les bots de trading automatisés. Selon l’équipe de sécurité GoPlus, les bots affectés incluent Negrisk, ClawdBots, MoltBot, etc.

L’attaquant efface des ordres, crée des « transactions fantômes », mais ces opérations ne génèrent pas directement de profits. Alors, comment gagne-t-il de l’argent ?

PANews a identifié deux principales voies de profit.

La première consiste à « monopoliser le marché après nettoyage ». Sur un marché de prédiction populaire, plusieurs market makers rivalisent, avec un spread souvent très étroit (par exemple, acheter à 49 cents, vendre à 51 cents). En répétant des transactions vouées à l’échec, l’attaquant force la suppression de tous ces ordres concurrents. Le carnet devient alors vide, et il place ses propres ordres avec un spread beaucoup plus large (par exemple, achat à 40 cents, vente à 60 cents). Les autres traders, sans meilleure offre, doivent accepter ces prix, et l’attaquant réalise un profit de 20 cents par transaction. Ce cycle se répète : nettoyage, monopole, profit, puis nouveau nettoyage.

La seconde voie est plus directe : « tuer les bots de couverture ». Par exemple, si le prix « Oui » est à 50 cents, l’attaquant place une commande d’achat de 10 000 dollars « Oui » via l’API. Après confirmation hors chaîne, le bot croit avoir vendu 20 000 actions « Yes » et, pour couvrir le risque, achète immédiatement 20 000 actions « Non » dans un autre marché, pour verrouiller le profit. Mais si, en même temps, la transaction de 10 000 dollars échoue on-chain, le bot n’a en réalité rien vendu, et sa position de couverture est devenue une position nue. L’attaquant peut alors profiter de la vente forcée de ces positions non couvertes ou exploiter le décalage de prix pour arbitrer.

Chaque cycle d’attaque ne coûte que moins de 0,1 dollar en Gas sur Polygon, dure environ 50 secondes, et peut théoriquement être répété 72 fois par heure. Un attaquant a mis en place un système automatisé à deux portefeuilles alternant (Cycle A Hub et Cycle B Hub), permettant une attaque à haute fréquence. Plusieurs dizaines de transactions échouées ont déjà été enregistrées.

Côté gains, un adresse signalée par la communauté a été créée en février 2026, n’a participé qu’à 7 marchés, mais a déjà réalisé 16 427 dollars de profit total, avec un gain maximal de 4 415 dollars en une seule opération. La majorité des profits se concentre sur une courte période. En résumé, avec moins de 10 dollars de Gas, l’attaquant a pu générer plus de 16 000 dollars en une journée. Et ce n’est qu’un seul exemple signalé, le nombre réel d’adresses impliquées et de profits pourrait être bien supérieur.

Pour les market makers victimes, les pertes sont encore plus difficiles à quantifier. Des traders de Reddit, opérant des bots sur des marchés BTC à 5 minutes, ont estimé des pertes « de plusieurs milliers de dollars ». La vraie problématique réside dans le coût d’opportunité lié à la suppression d’ordres, et dans la nécessité de réajuster leur stratégie de market making.

Le problème plus profond est que cette faille provient d’un défaut de conception du mécanisme sous-jacent de Polymarket. Elle ne peut pas être corrigée rapidement. Avec la divulgation de cette méthode, d’autres attaques similaires risquent de se multiplier, fragilisant encore davantage la liquidité déjà fragile de Polymarket.

La réponse communautaire, l’alerte et le silence de la plateforme

Jusqu’à présent, Polymarket n’a publié aucune déclaration officielle ni plan de correction détaillé concernant cette attaque. Certains utilisateurs ont indiqué sur les réseaux que ce bug aurait été signalé plusieurs fois depuis plusieurs mois, sans réponse. Il est à noter qu’en réponse à une attaque de « gouvernance » (manipulation du vote de l’oracle UMA), la plateforme avait également refusé de rembourser.

Face à l’inaction officielle, la communauté tente de se défendre. Un développeur a créé un outil open source appelé « Nonce Guard » pour surveiller en temps réel les annulations d’ordres sur Polygon, établir une liste noire des adresses d’attaquants, et alerter les bots de trading. Mais cette solution n’est qu’un patch, et ne résout pas le problème de fond.

Comparée à d’autres formes d’arbitrage, cette attaque pourrait avoir des conséquences plus profondes. La suppression soudaine et massive d’ordres fragilise la stabilité et la prévisibilité des stratégies de market making, risquant de dissuader les acteurs de fournir de la liquidité sur Polymarket.

Pour les utilisateurs de bots de trading automatisé, la fiabilité des signaux API est remise en question, et la disparition soudaine de liquidité peut entraîner des pertes importantes pour les traders ordinaires.

Quant à la plateforme elle-même, si les market makers cessent de placer des ordres et que les bots évitent le hedge, la profondeur du carnet d’ordres se réduira inévitablement, amorçant un cercle vicieux de dégradation.