Одна транзакція на 0,1 долара може збанкрутувати маркет-мейкера Polymarket.

Автор: Frank, PANews

Мінімальна на ланцюгу транзакція менш ніж за 0,1 долара може миттєво стерти з книги замовлень Polymarket ордери на десятки тисяч доларів. Це не теоретична модель, а реальність, що відбувається зараз.

У лютому 2026 року один з користувачів опублікував у соцмережах новий спосіб атаки на маркет-мейкерів Polymarket. Блогер BuBBliK назвав його «елегантним і жорстоким», оскільки зловмисник може за менше ніж 0,1 долара газових зборів у мережі Polygon здійснити цикл атаки за приблизно 50 секунд, тоді як жертви — маркет-мейкери та автоматичні торгові боти, що виставляють реальні гроші на книгу, — стикаються з примусовим зняттям ордерів, відкриттям позицій або навіть прямими збитками.

PANews дослідив адресу з ознаками атаки, яку позначила спільнота. Виявилось, що цей акаунт зареєстрований у лютому 2026 року, брав участь лише у 7 ринках, але вже отримав загальний прибуток у 16 427 доларів, причому основний дохід був отриманий за один день. Керуючий ринком із оцінкою у 9 мільярдів доларів, з такою глибиною ліквідності, може бути зруйнований кількома центами — і це відкриває не лише технічну уразливість.

PANews детально розгляне технічний механізм цієї атаки, її економічну логіку та потенційний вплив на індустрію прогнозних ринків.

Як відбувається атака: точний «полювання» з використанням «часової різниці»

Щоб зрозуміти цю атаку, потрібно спершу ознайомитись із процесом торгів у Polymarket. На відміну від більшості децентралізованих бірж, Polymarket прагне забезпечити користувачам досвід, близький до централізованих платформ, тому використовує гібридну архітектуру «офчейн-мішування + ончейн-розрахунок»: ордери створюються та узгоджуються у моменті поза ланцюгом, а фінальна передача коштів відбувається лише на Polygon. Це дає змогу користувачам виставляти ордери без газових витрат і миттєво укладати угоди, але створює «часову різницю» у кілька секунд між офчейн-і ончейн-операціями, на яку і націлена атака.

Логіка атаки досить проста. Зловмисник спершу через API робить звичайний ордер на купівлю або продаж, який офчейн-система підтверджує без проблем. Потім він підтягує цей ордер до книги, де його можуть узгодити з іншими маркет-мейкерами. Одночасно з цим зловмисник у ончейн-мережі ініціює транзакцію з дуже високим газом — переказ USDC, що повністю виводить кошти з його гаманця. Оскільки ця транзакція має вищий пріоритет, вона підтверджується швидше за стандартні. Коли система підтверджує узгодження, зловмисник уже позбавлений грошей, і транзакція з провалом через недостатність балансу скасовується.

Якщо б це була вся історія, — це просто витрата газу. Але справжня небезпека полягає в тому, що, попри провал транзакції, офчейн-система Polymarket примусово знімає з книги всі ордери, що брали участь у цій невдалій угоді. Іншими словами, зловмисник одним «провальним» ордером може масово очистити книгу від реальних ордерів на купівлю та продаж, виставлених за реальні гроші.

Порівняємо з аукціоном: це як кричати під час торгів, а коли лунає молоток, раптово заявляти «у мене немає грошей», і при цьому аукціон забирає у всіх інших учасників їхні номерки, через що торги зриваються.

Варто зазначити, що спільнота виявила «оновлену версію» цієї атаки, названу «Ghost Fills» (привиди угод). Зловмисник уже не змагається за швидкість переказу, а після офчейн-узгодження і перед ончейн-розрахунком викликає функцію «скасувати всі ордери» у контракті, що миттєво робить його ордер недійсним. Ще хитріше — він може одночасно виставляти ордери у кількох ринках, спостерігати за ціновою динамікою і залишати лише вигідні, а не вигідні скасовувати цим методом, створюючи фактично «безпрограшний» варіант опціону.

Економіка атаки: кілька центів — 16 тисяч доларів прибутку

Крім безпосереднього зняття ордерів маркет-мейкерів, ця стратегія використовується для «полювання» на автоматичних торгових ботів. За даними команди безпеки GoPlus, під удар потрапили боти Negrisk, ClawdBots, MoltBot та інші.

Зловмисник знищує ордери, створює «привидні угоди» — і ці дії самі по собі не приносять прибутку. Тоді звідки гроші?

PANews виявив, що основний шлях отримання прибутку — це дві стратегії.

Перша — «монополія після очищення». У популярних прогнозних ринках зазвичай виступають кілька маркет-мейкерів, які конкурують за ордери. Різниця між найкращим купівельним і продажним ордером може бути всього 2 цента: наприклад, купівля за 49 центів і продаж за 51 цент. Зловмисник, повторюючи «провальні» транзакції, знищує ці конкуренти. Після цього він виставляє свої ордери з широким спредом — наприклад, купівля за 40 центів і продаж за 60. Інші користувачі, не маючи кращих цін, змушені погоджуватися з цим спредом, і зловмисник отримує прибуток у 20 центів на кожній угоді. Цикл повторюється: очищення — монополія — прибуток — знову очищення.

Друга стратегія — «полювання на хедж-ботів». Наприклад, у ринку «Так» ціна становить 50 центів. Зловмисник через API подає ордер на купівлю «Так» на 10 000 доларів. Після підтвердження офчейн-системою він повідомляє боту, що «продано 20 тисяч акцій». Бот, щоб застрахуватися, миттєво купує у іншому ринку «Ні» на цю ж суму. Але потім зловмисник скасовує цю ордер у ончейні, і бот залишається з відкритим ризиком — у нього немає хеджу. Тоді зловмисник може використовувати цю ситуацію для торгівлі, отримуючи прибуток від цінових зсувів або продаючи активи за вигідною ціною.

Вартість кожної такої атаки — менше 0,1 долара газу в мережі Polygon, а цикл триває близько 50 секунд. За годину можна виконати до 72 таких циклів. Один з атакуючих створив автоматизовану систему з двох гаманців, що чергують, — і вже зафіксовано сотні невдалих транзакцій.

Щодо прибутків, — за даними спільноти, акаунт, зареєстрований у лютому 2026 року, брав участь у 7 ринках і отримав понад 16 400 доларів прибутку, з максимальним доходом у 4 415 доларів за одну операцію. Весь цей прибуток був отриманий за короткий час, використовуючи менше ніж 10 доларів газу. Це лише один з відмічених акаунтів, і реальні масштаби можуть бути значно більшими.

Для постраждалих маркет-мейкерів збитки важко підрахувати. У Reddit-спільноті повідомляють про втрати у кілька тисяч доларів. Глибша шкода — це втрата можливостей через часте зняття ордерів і зміну стратегій.

Ще гірше — цей вразливий механізм закладений у саму архітектуру Polymarket і не може бути швидко виправлений. З відкриттям цієї уразливості подібні атаки стануть поширенішими і ще більше послаблять вже й так крихку ліквідність платформи.

Самоорганізація спільноти, попередження та мовчання платформи

На даний момент офіційний представник Polymarket не оприлюднив детальної заяви або плану виправлення. Деякі користувачі у соцмережах повідомляють, що ця проблема була відома ще кілька місяців тому, але її ігнорували. Варто зазначити, що раніше Polymarket у випадках «громадських атак» (наприклад, маніпуляції з голосуваннями через Oracle UMA) також не реагував на повернення коштів.

За відсутності офіційної реакції, спільнота почала самостійно шукати рішення. Один із розробників створив відкритий інструмент «Nonce Guard», що моніторить скасування ордерів у Polygon, формує чорний список зловмисників і попереджає торгових ботів. Однак цей підхід — лише тимчасовий захід і не вирішує проблему кардинально.

У порівнянні з іншими видами арбітражу, ця атака може мати більш глибокі наслідки.

Для маркет-мейкерів — масове зняття ордерів без попередження руйнує їхню стратегію і стабільність, що може знизити їхню мотивацію підтримувати ліквідність на Polymarket.

Для автоматичних торгових ботів — сигналів API вже не можна довіряти, а звичайні користувачі ризикують зазнати значних збитків через раптове зникнення ліквідності.

Для самої платформи — коли маркет-мейкери бояться виставляти ордери, а боти — хеджувати ризики, книга ордерів починає виснажуватися, і цей цикл погіршення може призвести до ще більшого ослаблення платформи.