Polymarket vá lỗ hổng “giao dịch ma”: tỷ lệ giao dịch bất thường giảm 30% xuống còn 0,17%, V2 ra mắt một tuần đã phát huy hiệu quả

Nền tảng dự đoán Polymarket đã hoàn tất vào ngày 4/5 bản sửa lỗi cốt lõi cho lỗ hổng “Ghost Fill” (giao dịch ma), khiến tỷ lệ giao dịch bất thường giảm từ mức đỉnh 30% xuống còn 0,17%. Kỹ sư Polymarket Josh Stevens công bố: bản sửa lần này là phần lõi của bản nâng cấp V2, cần viết lại toàn bộ cấu trúc giao dịch ở tầng nền, và có hiệu lực sau 1 tuần kể từ khi lên sóng.

Ghost Fill là gì: giao dịch đã “thành công”, nhưng bên kia không thể lấy lại tiền

“Ghost Fill” là một kiểu tấn công khiến một lệnh trông như đã khớp, nhưng thực tế là tiền của đối thủ đã bị rút đi. Cụ thể, kẻ tấn công vào đúng khoảnh khắc xác nhận giao dịch đã khớp, dùng một trong các cách sau để chuyển tiền đi:

Thu hồi ủy quyền smart contract (revoke allowance)

Chuyển tiền từ ví sang địa chỉ khác

Sửa đổi nonce khiến lệnh ban đầu mất hiệu lực

Hủy chủ động lệnh

Kết quả là: bên đối thủ tưởng rằng mình đã mua hợp đồng ở một mức giá nhất định, nhưng thực tế tiền không còn nằm trong ví của kẻ tấn công. Sổ lệnh của Polymarket vẫn hiển thị giao dịch đã khớp, nhưng trên chuỗi thì không có đối ứng quyết toán tương ứng. Người dùng bị ảnh hưởng sẽ thấy “giá khớp gây hiểu nhầm, lợi nhuận kỳ vọng bị hụt”.

Từ trò đùa đến arbitrage của LP: quy mô tấn công mở rộng thế nào

Ban đầu, quy mô Ghost Fill còn nhỏ, chỉ một số ít người dùng để “giả vờ khớp” nhằm trêu chọc những người đặt lệnh khác. Nhưng gần đây, nó được sử dụng một cách có hệ thống để trục lợi phần thưởng cung cấp thanh khoản của Polymarket (LP):

Kẻ tấn công treo các lệnh lớn trên sổ lệnh, chiếm phần hạn mức phần thưởng dành cho LP

Khi lệnh sắp bị ăn (được khớp), dùng kỹ thuật Ghost Fill để hủy, né rủi ro giao dịch/khớp thực tế

Kết quả là “nhận phần thưởng LP nhưng không chịu rủi ro tạo lập thị trường”, tức arbitrage không cần chi phí

Khi mô hình arbitrage này mở rộng, tỷ lệ Ghost Fill từng vọt lên 30%—tức là khoảng 3/10 “giao dịch” trên nền tảng không hề được ghép cặp quyết toán thực sự trên chuỗi, làm xói mòn nghiêm trọng độ tin cậy của sổ lệnh Polymarket.

Hiệu quả bản vá V2: 0,17% và tiếp tục giảm

Polymarket không chỉ vá một hàm đơn lẻ, mà là viết lại toàn bộ cấu trúc giao dịch ở tầng nền, triển khai hệ thống V2. Bản nâng cấp này đã ra mắt trong tuần này. Trong thông báo, Stevens cho biết: “Tỷ lệ Ghost Fill từ mức đỉnh 30% giảm xuống còn 0,17%, và trong ngày đó sẽ tiếp tục tiến gần về 0. Chúng tôi biết vấn đề này đã làm hại trải nghiệm sử dụng của tất cả mọi người, rất xin lỗi—và giờ đây mọi thứ phải khác biệt rõ rệt.”

V2 không chỉ giải quyết Ghost Fill, mà còn giúp đội ngũ kỹ thuật Polymarket linh hoạt vá ở tầng nền hơn khi đối mặt với các kiểu tấn công tương tự trong tương lai. Với các LP và người dùng phổ thông, điều này đồng nghĩa nền tảng đang bước vào giai đoạn “khôi phục độ tin cậy”: các giao dịch hiển thị trên sổ lệnh giờ gần với trạng thái thực tế trên chuỗi hơn.

Xét theo lộ trình tổng thể của Polymarket, bản vá lần này hoàn tất sau các cột mốc như doanh số tháng 4 vượt 25,7 tỷ USD, định giá 15,8 tỷ USD và việc ra mắt hợp đồng vĩnh viễn (đòn bẩy 10×, BTC, NVDA, vàng). abmedia Polymarket phân tích đầy đủ các diễn biến liên quan đã được ghi nhận; đây là bản vá nền tảng then chốt cho việc cải tạo hệ nền tảng V2.

Bài viết về bản vá của Polymarket đối với lỗ hổng “giao dịch ma”: tỷ lệ giao dịch bất thường giảm từ 30% xuống 0,17%, V2 ra mắt có hiệu lực sau 1 tuần sớm nhất xuất hiện trên 鏈新聞 ABMedia.