Moins de 1 cent pour faire tomber une liquidité de plus de 10 000 dollars, une attaque par ordre pourrait vider le market maker de Polymarket

Auteur : Frank, PANews

Une transaction sur la blockchain de moins de 0,1 dollar peut instantanément effacer une commande de marché valant des dizaines de milliers de dollars du carnet d’ordres de Polymarket. Ce n’est pas une théorie, mais une réalité en cours.

En février 2026, un utilisateur a révélé sur les réseaux sociaux une nouvelle méthode d’attaque contre les market makers de Polymarket. Le blogueur BuBBliK l’a qualifiée d’« élégante & brutale », car l’attaquant n’a besoin de payer que moins de 0,1 dollar de frais de Gas sur le réseau Polygon pour réaliser une boucle d’attaque en environ 50 secondes, tandis que les victimes, ces market makers et bots de trading automatique affichant de véritables ordres, voient leurs ordres détruits ou deviennent passifs, subissant des pertes.

PANews a examiné une adresse d’attaquant marquée par la communauté, enregistrée en février 2026, qui n’a participé qu’à 7 marchés mais a déjà réalisé un profit total de 16 427 dollars, avec la majorité des gains réalisés en une journée. Lorsqu’un marché prédictif valorisé à 9 milliards de dollars voit sa liquidité ainsi manipulée pour quelques cents, cela révèle bien plus qu’une simple faille technique.

PANews analysera en profondeur la mécanique technique, la logique économique et l’impact potentiel de cette attaque sur l’industrie des marchés prédictifs.

Comment l’attaque se produit : une chasse précise exploitant le « décalage temporel »

Pour comprendre cette attaque, il faut d’abord connaître le processus de trading de Polymarket. Contrairement à la plupart des DEX, Polymarket cherche à offrir une expérience utilisateur proche de celle d’une plateforme centralisée, en utilisant une architecture hybride « matching hors chaîne + règlement sur chaîne ». Les ordres sont passés et appariés instantanément hors chaîne, seule la finalisation des fonds étant soumise à la blockchain Polygon. Ce design permet une expérience fluide avec zéro frais de Gas et des transactions en quelques secondes, mais crée aussi un décalage temporel de quelques secondes à une dizaine de secondes entre l’état hors chaîne et celui sur la blockchain, que l’attaquant exploite.

Le principe est simple. L’attaquant place d’abord une commande d’achat ou de vente via l’API, qui est validée hors chaîne (signature et solde vérifiés). La commande est comparée au carnet d’ordres. Mais presque simultanément, l’attaquant initie une transaction sur la blockchain avec des frais de Gas très élevés pour transférer tout l’argent de son portefeuille. Étant donné que ces frais dépassent largement la configuration par défaut du relais, cette transaction « d’épuisement » est confirmée en priorité. Lorsque le relais soumet le résultat de l’appariement, le portefeuille de l’attaquant est vide, et la transaction échoue pour solde insuffisant.

Si cette étape s’arrêtait là, cela ne serait qu’une dépense de Gas. Mais le vrai coup fatal est que, même si la transaction échoue sur la blockchain, le système hors chaîne de Polymarket force la suppression de tous les ordres des market makers impliqués dans cette erreur. En d’autres termes, l’attaquant, avec une transaction vouée à échouer, vide le carnet d’ordres de ceux qui ont misé de leur argent réel.

Pour faire une analogie : c’est comme crier une enchère lors d’une vente aux enchères, puis, au moment où le marteau tombe, faire semblant de dire « je n’ai plus d’argent », mais l’organisateur annule tous les autres enchérisseurs, provoquant l’échec de la vente.

Il est aussi important de noter que la communauté a découvert une « version améliorée » de cette attaque, appelée « Ghost Fills » (Transactions fantômes). L’attaquant n’a plus besoin de précipiter la transaction, mais, après l’appariement hors chaîne et avant le règlement sur la blockchain, il appelle directement la fonction « annuler toutes les commandes » du contrat, rendant ses ordres instantanément invalides, avec le même effet. Plus rusé encore, l’attaquant peut passer des ordres sur plusieurs marchés, observer l’évolution des prix, ne conserver que ceux favorables pour une exécution normale, et annuler ceux qui ne le sont pas, créant ainsi une sorte d’option gratuite « gagnante sans perte ».

L’économie de l’attaque : quelques cents pour 16 000 dollars de profit

Outre la suppression directe des ordres des market makers, cette désynchronisation entre l’état hors chaîne et sur chaîne est aussi utilisée pour cibler les bots de trading automatisés. Selon l’équipe de sécurité GoPlus, les bots affectés incluent Negrisk, ClawdBots, MoltBot, etc.

L’attaquant vide les ordres des autres, crée des « transactions fantômes », mais ces opérations ne génèrent pas directement de profit. Alors, comment l’argent est-il réellement gagné ?

PANews a identifié deux principales voies de profit pour l’attaquant.

La première consiste à « monopoliser le marché après nettoyage ». Sur un marché populaire, plusieurs market makers rivalisent, avec un spread très étroit (par exemple, acheter à 49 cents, vendre à 51 cents). En répétant des « transactions vouées à échouer » pour forcer la suppression des ordres concurrents, l’attaquant vide le carnet. Ensuite, il place ses propres ordres avec un spread beaucoup plus large (par exemple, achat à 40 cents, vente à 60 cents). Les autres traders, sans meilleures offres, doivent accepter ces prix, et l’attaquant réalise un profit de 20 cents par transaction. Ce cycle se répète : nettoyage, monopolisation, profit, puis nouveau nettoyage.

La seconde voie est plus directe : « chasser les bots de couverture ». Par exemple, si le prix « Yes » est à 50 cents, l’attaquant place via API une commande d’achat de 10 000 dollars de « Yes » auprès d’un bot market maker. Après confirmation hors chaîne, l’API indique au bot qu’il a vendu 20 000 actions « Yes ». Pour couvrir le risque, le bot achète immédiatement 20 000 actions « No » sur un autre marché. Mais, en réalité, la transaction de 10 000 dollars échoue sur la blockchain, le bot n’a jamais vendu de « Yes » et se retrouve avec une position nue en « No ». L’attaquant peut alors profiter de la vente forcée de ces positions non couvertes ou arbitrer sur la différence de prix.

Chaque cycle d’attaque ne coûte que moins de 0,1 dollar en Gas sur Polygon, dure environ 50 secondes, et peut être répété environ 72 fois par heure. Un attaquant a mis en place un système automatisé à double portefeuille, alternant entre deux hubs, pour une attaque à haute fréquence. Des centaines de transactions échouées ont déjà été enregistrées.

Côté gains, le même adresse marquée par la communauté a réalisé 16 427 dollars de profit en participant à 7 marchés, avec un gain maximum de 4 415 dollars en une seule opération, concentrée sur une courte période. En somme, avec moins de 10 dollars de Gas, cet attaquant a pu générer plus de 16 000 dollars en une journée. Et ce n’est qu’une seule adresse marquée ; le nombre total d’attaquants et de profits réels pourrait être bien supérieur.

Pour les market makers victimes, les pertes sont encore plus difficiles à quantifier. Des traders utilisant des bots de marché sur Reddit ont déclaré des pertes de « plusieurs milliers de dollars ». La vraie blessure réside aussi dans le coût d’opportunité dû à la suppression répétée d’ordres, ainsi que dans l’ajustement des stratégies de market making.

Le problème le plus grave est que cette faille provient d’un défaut de conception du mécanisme de Polymarket, difficile à corriger rapidement. Avec la divulgation de cette méthode d’attaque, des variantes seront probablement plus courantes, ce qui pourrait encore fragiliser la liquidité déjà vulnérable de Polymarket.

Auto-défense communautaire, alertes et silence de la plateforme

Jusqu’à présent, Polymarket n’a publié aucune déclaration détaillée ni plan de réparation concernant cette attaque. Certains utilisateurs ont indiqué sur les réseaux que ce bug aurait été signalé plusieurs fois depuis plusieurs mois, sans réponse. Il est à noter que lors d’une précédente attaque de gouvernance (manipulation du vote de l’oracle UMA), Polymarket avait également choisi de ne pas rembourser.

Face à l’inaction officielle, la communauté a commencé à agir. Un développeur a créé un outil open source nommé « Nonce Guard », capable de surveiller en temps réel les annulations d’ordres sur Polygon, de mettre en liste noire les adresses des attaquants, et d’envoyer des alertes aux bots. Mais cette solution n’est qu’un patch de surveillance, ne résolvant pas fondamentalement le problème.

Comparée à d’autres formes d’arbitrage, cette attaque pourrait avoir des impacts plus profonds. Les ordres des market makers, souvent difficiles à maintenir, peuvent être effacés sans avertissement, ce qui détruit la stabilité et la prévisibilité de leur stratégie, risquant de les dissuader de continuer à fournir de la liquidité sur Polymarket.

Pour les utilisateurs de bots automatisés, les signaux de trading deviennent peu fiables, et les traders ordinaires risquent de subir de lourdes pertes dues à la disparition soudaine de liquidité.

Quant à la plateforme Polymarket elle-même, si les market makers cessent de placer des ordres et que les bots évitent le hedge, la profondeur du carnet d’ordres se réduira inévitablement, entraînant un cercle vicieux d’aggravation.