Moins de 1 cent pour déstabiliser une liquidité de millions, une attaque par ordre pourrait vider la base de liquidité de Polymarket

Une transaction on-chain de moins de 0,1 USD peut instantanément effacer des dizaines de milliers de dollars d’ordres de market-making du carnet d’ordres de Polymarket. Ce n’est pas une spéculation théorique, mais une réalité en cours.

En février 2026, un utilisateur a révélé sur les réseaux sociaux une nouvelle méthode d’attaque contre les market-makers de Polymarket. Le blogueur BuBBliK la décrit comme « élégante & brutale », car l’attaquant n’a besoin de payer que moins de 0,1 USD de frais de Gas sur le réseau Polygon pour réaliser une boucle d’attaque en environ 50 secondes, tandis que les victimes, ces market-makers et bots de trading automatique affichant de véritables ordres, subissent la suppression forcée d’ordres, l’exposition passive de positions, voire des pertes directes.

PANews a examiné une adresse d’attaquant marquée par la communauté. Cette adresse, créée en février 2026, n’a participé qu’à 7 marchés mais a déjà enregistré un profit total de 16 427 USD, avec la majorité des gains réalisés en une journée. Lorsqu’un leader du marché de prédiction évalué à 9 milliards de dollars voit sa liquidité être manipulée pour quelques cents, cela révèle bien plus qu’une simple faille technique.

PANews analysera en profondeur le mécanisme technique, la logique économique et l’impact potentiel de cette attaque sur l’industrie des marchés de prédiction.

Comment l’attaque se produit : une chasse précise exploitant le « décalage temporel »

Pour comprendre cette attaque, il faut d’abord connaître le processus de trading de Polymarket. Contrairement à la plupart des DEX, Polymarket cherche à offrir une expérience utilisateur proche de celle d’une plateforme centralisée en utilisant une architecture hybride « matching hors chaîne + règlement sur chaîne ». Les ordres sont passés et appariés hors chaîne en une fraction de seconde, seule la livraison finale des fonds étant soumise à la blockchain Polygon. Ce design permet une expérience fluide avec des ordres sans frais de Gas et des transactions instantanées, mais crée aussi un décalage temporel de quelques secondes à une dizaine de secondes entre hors chaîne et on-chain, que l’attaquant exploite.

Le principe est simple. L’attaquant place d’abord une ordre d’achat ou de vente via l’API, qui est validée hors chaîne (signature et solde vérifiés). L’ordre est alors apparié avec d’autres ordres sur le carnet. Mais presque simultanément, l’attaquant initie une transaction on-chain avec des frais de Gas très élevés pour transférer tout l’argent de son portefeuille. Étant donné que ces frais dépassent largement la configuration par défaut du relais, cette transaction est confirmée en priorité par le réseau. Lorsque le relais soumet le résultat de l’appariement sur la blockchain, le portefeuille de l’attaquant est déjà vide, et la transaction échoue par manque de fonds, étant rollbackée.

Si cette histoire s’arrêtait là, ce ne serait qu’une perte minime de Gas pour le relais. Mais la étape réellement critique est la suivante : bien que la transaction échoue sur la chaîne, le système hors chaîne de Polymarket force la suppression de tous les ordres des market-makers innocents impliqués dans cette erreur d’appariement. En d’autres termes, avec une seule transaction vouée à l’échec, l’attaquant peut « vider » d’un coup tous les ordres de buy/sell affichés avec de l’argent réel.

Pour faire une analogie : c’est comme crier une enchère lors d’une vente aux enchères, puis, au moment où le marteau tombe, faire semblant de dire « je n’ai pas d’argent », tout en se faisant confisquer les numéros de tous les autres enchérisseurs, ce qui entraîne l’annulation de la vente.

Il est important de noter que la communauté a découvert une version « améliorée » de cette attaque, nommée « Ghost Fills » (transactions fantômes). Au lieu de tenter de devancer la transaction de transfert, l’attaquant, après l’appariement hors chaîne mais avant le règlement on-chain, appelle directement la fonction « annuler toutes les commandes » du contrat, rendant ses ordres instantanément invalides, avec le même effet. Plus rusé encore, l’attaquant peut simultanément passer des ordres sur plusieurs marchés, observer l’évolution des prix, ne conserver que ceux favorables pour une exécution normale, et annuler ceux qui ne le sont pas, créant ainsi une sorte d’option gratuite « à gagner sans perdre ».

L’« économie » de l’attaque : quelques cents pour 16 000 USD de gains

Outre la suppression directe des ordres des market-makers, cette désynchronisation entre états hors chaîne et on-chain est aussi utilisée pour chasser les bots de trading automatisé. Selon l’équipe de sécurité GoPlus, les bots affectés incluent Negrisk, ClawdBots, MoltBot, etc.

L’attaquant efface des ordres, crée des « transactions fantômes », mais ces opérations ne génèrent pas directement de profits. Alors, comment l’argent est-il réellement gagné ?

PANews a identifié deux principales voies de profit pour l’attaquant.

La première consiste à « monopoliser le marché après nettoyage ». En situation normale, un marché de prédiction populaire voit plusieurs market-makers concurrencer avec des ordres serrés, par exemple un ordre d’achat à 49 cents et un de vente à 51 cents, avec une marge de 2 cents. L’attaquant, en lançant à répétition des « transactions vouées à l’échec », force la suppression de tous ces ordres concurrents. La plateforme devient alors vide, et l’attaquant place ses propres ordres avec une large marge, par exemple achat à 40 cents et vente à 60 cents. Sans meilleure offre, les autres traders doivent accepter ces prix, et l’attaquant profite de cette « marge de monopole » de 20 cents. Ce cycle se répète : nettoyage, monopole, profit, puis nouveau nettoyage.

La seconde voie est plus directe : « chasser les bots de couverture ». Par exemple, si le prix « Yes » d’un marché est à 50 cents, l’attaquant passe via l’API une commande d’achat « Yes » de 10 000 USD. Après confirmation hors chaîne, l’API informe le bot qu’il a vendu 20 000 « Yes ». Pour couvrir le risque, le bot achète immédiatement 20 000 « No » dans un autre marché lié. Mais, en réalité, la transaction de 10 000 USD échoue et est rollbackée, ce qui signifie que le bot n’a en fait jamais vendu de « Yes ». Son hedge est devenu un pari unilatéral sans couverture, avec seulement 20 000 « No » en main. L’attaquant peut alors profiter de cette situation en effectuant des transactions réelles, en forçant le bot à liquider ces positions non couvertes, ou en arbitrant sur la différence de prix.

Chaque cycle d’attaque ne coûte que moins de 0,1 USD en Gas sur Polygon, dure environ 50 secondes, et peut théoriquement être répété 72 fois par heure. Un attaquant a mis en place un système automatisé à double portefeuille (« Cycle A Hub » et « Cycle B Hub »), permettant une attaque à haute fréquence. Plusieurs dizaines de transactions échouées ont déjà été enregistrées sur la blockchain.

Côté gains, un adresse marquée par la communauté a été créée en février 2026, n’a participé qu’à 7 marchés, mais a déjà réalisé un profit total de 16 427 USD, avec un gain maximum de 4 415 USD en une seule opération, concentrée sur une courte période. Autrement dit, avec moins de 10 USD de Gas, l’attaquant a pu générer plus de 16 000 USD de profit en une journée. Et ce n’est qu’une adresse marquée, le nombre total d’adresses impliquées et de profits réels pourrait être bien supérieur.

Pour les market-makers victimes, les pertes sont encore plus difficiles à quantifier. Des traders utilisant des bots de marché BTC sur 5 minutes ont déclaré des pertes « de plusieurs milliers de dollars ». La vraie problématique réside dans le coût d’opportunité lié à la suppression répétée des ordres, ainsi que dans l’ajustement nécessaire de leur stratégie de market-making.

Le problème plus profond est que cette faille provient d’un défaut de conception du mécanisme sous-jacent de Polymarket, qui ne peut être corrigé rapidement. À mesure que cette méthode d’attaque se répand, elle risque de devenir plus courante, fragilisant davantage la liquidité déjà fragile de Polymarket.

Réactions communautaires, alertes et silence de la plateforme

Jusqu’à présent, Polymarket n’a publié aucune déclaration officielle détaillée ni plan de réparation concernant cette attaque. Certains utilisateurs ont indiqué sur les réseaux sociaux que cette faille était signalée depuis plusieurs mois, sans qu’aucune action ne soit entreprise. À noter que lors de la précédente crise de « gouvernance » (manipulation par vote de l’oracle UMA), Polymarket avait également choisi de ne pas rembourser.

Face à l’inaction officielle, la communauté tente de se défendre. Un développeur a créé un outil open source nommé « Nonce Guard » qui surveille en temps réel les annulations d’ordres sur Polygon, construit une liste noire d’adresses d’attaquants, et fournit des alertes aux bots de trading. Mais cette solution n’est qu’un patch de surveillance, ne résolvant pas fondamentalement le problème.

Comparé à d’autres formes d’arbitrage, cette méthode d’attaque pourrait avoir des impacts plus profonds.

Pour les market-makers, la suppression soudaine de leurs ordres sans avertissement détruit la stabilité et la prévisibilité de leur stratégie, ce qui pourrait les dissuader de continuer à fournir de la liquidité sur Polymarket.

Pour les utilisateurs de bots, les signaux de trading deviennent peu fiables, et les traders ordinaires risquent de subir des pertes importantes dues à la disparition instantanée de la liquidité.

Pour la plateforme elle-même, si les market-makers cessent de placer des ordres et que les bots ne couvrent plus leurs positions, la profondeur du carnet d’ordres s’amenuise inévitablement, entraînant un cercle vicieux de dégradation.