ผู้เขียน: Frank, PANews
ธุรกรรมแบบ on-chain ที่น้อยกว่า $0.1 สามารถล้างคําสั่งซื้อทําตลาดมูลค่าหลายหมื่นดอลลาร์ออกจากสมุดคําสั่งซื้อของ Polymarket ได้ทันที นี่ไม่ใช่การหักเงินทางทฤษฎี แต่เป็นความจริงที่กําลังเกิดขึ้น
ในเดือนกุมภาพันธ์ 2026 ผู้เล่นคนหนึ่งได้เปิดเผยวิธีการโจมตีแบบใหม่ต่อผู้ดูแลสภาพคล่องของ Polymarket บนโซเชียลมีเดีย บล็อกเกอร์ BuBBliK อธิบายว่ามัน “สง่างามและโหดร้าย” เนื่องจากผู้โจมตีต้องจ่ายค่าธรรมเนียมก๊าซน้อยกว่า 0.1 ดอลลาร์บนเครือข่าย Polygon เพื่อทําการโจมตีให้เสร็จสมบูรณ์ในเวลาประมาณ 50 วินาที ในขณะที่เหยื่อ ผู้ดูแลสภาพคล่อง และบอทซื้อขายอัตโนมัติที่วางคําสั่งซื้อด้วยเงินจริงในสมุดคําสั่งซื้อ
PANews ตรวจสอบที่อยู่ของผู้โจมตีที่ชุมชนตั้งค่าสถานะ และพบว่าบัญชีดังกล่าวลงทะเบียนในเดือนกุมภาพันธ์ 2026 และเข้าร่วมการซื้อขายในตลาดเพียง 7 แห่ง แต่มีกําไรรวม 16,427 ดอลลาร์ และกําไรหลักนั้นเสร็จสมบูรณ์ในหนึ่งวัน เมื่อผู้นําตลาดการคาดการณ์ที่มีมูลค่า 9 พันล้านดอลลาร์สามารถใช้ประโยชน์จากต้นทุนเพียงไม่กี่เซ็นต์
PANews จะเจาะลึกกลไกทางเทคนิคตรรกะทางเศรษฐกิจของการโจมตีนี้และผลกระทบที่อาจเกิดขึ้นต่ออุตสาหกรรมตลาดการคาดการณ์
การโจมตีเกิดขึ้นได้อย่างไร: การล่าที่แม่นยําซึ่งใช้ประโยชน์จาก “ความแตกต่างของเวลา”
เพื่อให้เข้าใจการโจมตีนี้ จําเป็นต้องเข้าใจกระบวนการซื้อขายของ Polymarket ก่อน ซึ่งแตกต่างจาก DEX ส่วนใหญ่ Polymarket ใช้สถาปัตยกรรมไฮบริดของ “การจับคู่แบบ off-chain + การชําระแบบ on-chain” เพื่อแสวงหาประสบการณ์ของผู้ใช้ที่ใกล้เคียงกับการแลกเปลี่ยนแบบรวมศูนย์ การออกแบบนี้ช่วยให้ผู้ใช้เพลิดเพลินไปกับประสบการณ์ที่นุ่มนวลของคําสั่งซื้อที่รอดําเนินการแบบไม่มีก๊าซและธุรกรรมระดับที่สอง แต่ยังสร้าง “ความแตกต่างของเวลา” ระหว่าง off-chain และ on-chain ตั้งแต่ไม่กี่วินาทีถึงสิบวินาที และผู้โจมตีกําลังกําหนดเป้าหมายไปที่หน้าต่างนี้
ตรรกะของการโจมตีไม่ซับซ้อน ผู้โจมตีวางคําสั่งซื้อหรือขายตามปกติผ่าน API ก่อน และระบบ off-chain จะตรวจสอบว่าลายเซ็นและยอดคงเหลือนั้นใช้ได้ ดังนั้นจึงจับคู่กับคําสั่งซื้อที่รอดําเนินการของผู้ดูแลสภาพคล่องรายอื่นในสมุดคําสั่งซื้อ ผู้โจมตีได้เริ่มการโอน USDC โดยมีค่าธรรมเนียมก๊าซที่สูงมากบนห่วงโซ่ โดยโอนเงินทั้งหมดในกระเป๋าเงิน เนื่องจากค่าธรรมเนียมก๊าซสูงกว่าการตั้งค่าเริ่มต้นของตัวทําซ้ําของแพลตฟอร์มมากธุรกรรมที่ “ระบายออก” นี้จะได้รับการยืนยันจากเครือข่ายก่อน เมื่อถึงเวลาที่ตัวทําซ้ําส่งผลลัพธ์ที่ตรงกันไปยังเชน กระเป๋าเงินของผู้โจมตีจะว่างเปล่า และธุรกรรมล้มเหลวในการย้อนกลับเนื่องจากยอดคงเหลือไม่เพียงพอ
หากเรื่องราวจบลงที่นี่ ก็เป็นเพียงการเสียค่าแก๊สเล็กน้อยสําหรับเครื่องทวนสัญญาณ แต่ขั้นตอนที่ร้ายแรงที่แท้จริงคือแม้ว่าธุรกรรมจะล้มเหลวบนเครือข่าย แต่ระบบนอกเครือข่ายของ Polymarket ก็บังคับให้ลบคําสั่งซื้อของผู้ดูแลสภาพคล่องที่บริสุทธิ์ทั้งหมดออกจากสมุดคําสั่งซื้อที่เข้าร่วมในการแข่งขันที่ล้มเหลวนี้ กล่าวอีกนัยหนึ่งผู้โจมตีใช้ธุรกรรมที่ถึงวาระเพื่อ “ล้าง” คําสั่งซื้อที่คนอื่นใช้เงินจริง
ใช้การเปรียบเทียบ: มันเหมือนกับการตะโกนในการประมูล รอให้ค้อนตกลงมา แล้วหันหน้าแล้วพูดว่า “ฉันไม่มีเงิน” แต่บ้านประมูลยึดป้ายทะเบียนของผู้ประมูลปกติคนอื่นๆ ทั้งหมด ส่งผลให้การประมูลแพ้
เป็นที่น่าสังเกตว่าต่อมาชุมชนได้ค้นพบ “เวอร์ชันอัปเกรด” ของการโจมตีชื่อ “Ghost Fills” ผู้โจมตีไม่จําเป็นต้องเร่งรีบในการโอนอีกต่อไป แต่เรียกใช้ฟังก์ชัน “ยกเลิกคําสั่งซื้อทั้งหมดในคลิกเดียว” โดยตรงในสัญญาหลังจากจับคู่คําสั่งซื้อนอกเครือข่ายและก่อนการชําระบัญชีบนเครือข่าย เพื่อให้คําสั่งซื้อของพวกเขาเป็นโมฆะได้ทันทีเพื่อให้ได้ผลเช่นเดียวกัน สิ่งที่ฉลาดแกมโกงยิ่งกว่านั้นคือผู้โจมตีสามารถวางคําสั่งซื้อในหลายตลาดพร้อมกันสังเกตแนวโน้มราคาและเก็บเฉพาะคําสั่งที่ดีเพื่อดําเนินการตามปกติและยกเลิกคําสั่งซื้อที่ไม่เอื้ออํานวยด้วยวิธีนี้โดยพื้นฐานแล้วจะสร้างตัวเลือกฟรี “ชนะและไม่แพ้”
โจมตี “เศรษฐศาสตร์”: ราคาไม่กี่เซ็นต์ กําไร 16,000 ดอลลาร์
นอกเหนือจากการเคลียร์คําสั่งซื้อของผู้ดูแลสภาพคล่องโดยตรงแล้ว สถานะ off-chain และ on-chain นี้ยังใช้เพื่อตามล่าบอทซื้อขายอัตโนมัติอีกด้วย จากการตรวจสอบโดยทีมรักษาความปลอดภัยของ GoPlus บอทที่ได้รับผลกระทบ ได้แก่ Negrisk, ClawdBots, MoltBot และอื่นๆ
ผู้โจมตีเคลียร์คําสั่งซื้อของผู้อื่นและสร้าง “ข้อตกลงผี” ซึ่งไม่ได้สร้างผลกําไรโดยตรงในตัวเอง แล้วพวกเขาจะทําเงินได้อย่างไร?
PANews พบว่ามีเส้นทางการทํากําไรหลักสองเส้นทางสําหรับผู้โจมตี
ประการแรกคือ “การทําตลาดผูกขาดหลังการกวาดล้าง” ภายใต้สถานการณ์ปกติ จะมีผู้ดูแลสภาพคล่องหลายรายแข่งขันกันเพื่อชิงคําสั่งซื้อที่รอดําเนินการในสมุดคําสั่งซื้อของตลาดคาดการณ์ยอดนิยม และสเปรดระหว่างการซื้อหนึ่งและขายหนึ่งมักจะแคบมาก เช่น คําสั่งซื้อที่ 49 เซนต์ คําสั่งขายที่ 51 เซนต์ และผู้ดูแลสภาพคล่องทํากําไรเล็กน้อยจากส่วนต่างของราคา 2 เซนต์ ผู้โจมตีเริ่ม “ธุรกรรมที่ถึงวาระ” ซ้ําแล้วซ้ําเล่าเพื่อบังคับให้ลบคําสั่งซื้อที่รอดําเนินการของคู่แข่งเหล่านี้ทั้งหมด ณ จุดนี้ ตลาดกลายเป็นสุญญากาศ และผู้โจมตีได้วางคําสั่งซื้อในบัญชีของเขาทันที แต่สเปรดกว้างขึ้นอย่างมาก เช่น คําสั่งซื้อที่ 40 เซนต์ และคําสั่งขายที่ 60 เซนต์ ผู้ใช้รายอื่นที่ต้องการซื้อขายต้องยอมรับราคานี้โดยไม่มีใบเสนอราคาที่ดีกว่า และผู้โจมตีทํากําไรโดยอาศัย “สเปรดการผูกขาด” 20 เซ็นต์ โมเดลนี้เป็นวัฏจักร: การกวาดล้าง การผูกขาด กําไร และการกวาดล้างใหม่
เส้นทางกําไรที่สองนั้นตรงกว่า ซึ่งก็คือ “ล่าหุ่นยนต์ป้องกันความเสี่ยง” เพื่อแสดงให้เห็นด้วยตัวอย่างเฉพาะ: สมมติว่าราคาของ “ใช่” ในตลาดใดตลาดหนึ่งคือ 50 เซนต์ ผู้โจมตีจะวางคําสั่ง “ใช่” มูลค่า 10,000 ดอลลาร์ให้กับบอททําตลาดผ่าน API หลังจากที่ระบบ off-chain ยืนยันว่าการจับคู่สําเร็จ API จะบอกบอททันทีว่า “คุณขายหุ้นได้ 20,000 หุ้น ใช่” หลังจากได้รับสัญญาณเพื่อป้องกันความเสี่ยงหุ่นยนต์จะซื้อ 20,000 หุ้นของ “ไม่” ในตลาดอื่นที่เกี่ยวข้องทันทีเพื่อล็อคผลกําไร แต่แล้วผู้โจมตีก็ย้อนกลับคําสั่งซื้อ $10,000 บนเชน ซึ่งหมายความว่าบอทไม่ได้ขาย “ใช่” เลย และตําแหน่งป้องกันความเสี่ยงที่คิดว่าเป็นการเดิมพันด้านเดียวเปล่าตอนนี้เป็นการเดิมพันด้านเดียวเปล่า โดยมีหุ้น “ไม่” เพียง 20,000 หุ้นในมือ แต่ไม่มีตําแหน่งสั้นที่สอดคล้องกันให้ปกป้อง ณ จุดนี้ ผู้โจมตีซื้อขายในตลาดจริง โดยใช้ประโยชน์จากบอทที่ถูกบังคับให้ขายตําแหน่งที่ไม่มีการป้องกันเหล่านี้เพื่อผลกําไร หรือเก็งกําไรโดยตรงจากการชดเชยราคาตลาด
จากด้านต้นทุน ลูปการโจมตีแต่ละครั้งจะจ่ายค่าธรรมเนียมก๊าซน้อยกว่า 0.1 ดอลลาร์บนเครือข่าย Polygon เท่านั้น และแต่ละลูปใช้เวลาประมาณ 50 วินาที ซึ่งในทางทฤษฎีสามารถดําเนินการได้ประมาณ 72 ครั้งต่อชั่วโมง ผู้โจมตีตั้งค่า “ระบบหมุนเวียนกระเป๋าเงินคู่” (สลับระหว่างฮับรอบ A และฮับรอบ B) เพื่อให้ได้การโจมตีความถี่สูงอัตโนมัติเต็มรูปแบบ มีการบันทึกธุรกรรมที่ล้มเหลวหลายร้อยรายการบนเชน
จากมุมมองของรายได้ ที่อยู่ของผู้โจมตีที่ทําเครื่องหมายโดยชุมชนที่ปรึกษาโดย PANews แสดงให้เห็นว่าบัญชีดังกล่าวลงทะเบียนใหม่ในเดือนกุมภาพันธ์ 2026 และเข้าร่วมในตลาดเพียง 7 แห่ง แต่มีกําไรรวม 16,427 ดอลลาร์ โดยมีกําไรสูงสุดเพียงครั้งเดียวที่ 4,415 ดอลลาร์ และกิจกรรมผลกําไรหลักจะกระจุกตัวอยู่ในกรอบเวลาอันสั้น กล่าวอีกนัยหนึ่ง ผู้โจมตีใช้ประโยชน์จากผลกําไรมากกว่า 16,000 ดอลลาร์ในวันเดียวด้วยค่าแก๊ส ซึ่งอาจรวมกันน้อยกว่า 10 ดอลลาร์ และนี่เป็นเพียงที่อยู่ที่ถูกตั้งค่าสถานะ และที่อยู่ที่เกี่ยวข้องกับการโจมตีจริง ๆ และจํานวนกําไรทั้งหมดอาจมากกว่านั้นมาก
สําหรับผู้ดูแลสภาพคล่องที่ตกเป็นเหยื่อ การสูญเสียนั้นยากต่อการหาปริมาณ ผู้ค้าในชุมชน Reddit ที่ใช้งานบอทตลาด BTC 5 นาทีรายงานการขาดทุน “หลายพันดอลลาร์” ความเสียหายที่ลึกกว่านั้นอยู่ที่ค่าเสียโอกาสที่เกิดจากคําสั่งบังคับให้ถอดออกบ่อยครั้งและค่าใช้จ่ายในการดําเนินงานของกลยุทธ์การทําตลาดที่ถูกบังคับให้ปรับเปลี่ยน
ปัญหาที่ยากกว่าคือช่องโหว่นี้เป็นปัญหาเกี่ยวกับการออกแบบกลไกพื้นฐานของ Polymarkert และไม่สามารถแก้ไขได้ในระยะเวลาอันสั้น และเมื่อวิธีการโจมตีนี้ถูกเปิดเผยต่อสาธารณะ
การช่วยเหลือตนเองของชุมชน การเตือนล่วงหน้า และความเงียบของแพลตฟอร์ม
ณ ตอนนี้ Polymarket ยังไม่ได้ออกแถลงการณ์โดยละเอียดหรือแผนการแก้ไขสําหรับการโจมตีคําสั่งซื้อนี้อย่างเป็นทางการ และผู้ใช้บางคนกล่าวบนโซเชียลมีเดียว่ามีการรายงานข้อบกพร่องนี้หลายครั้งเมื่อไม่กี่เดือนที่ผ่านมา แต่ไม่มีใครให้ความสนใจกับมัน เป็นมูลค่าการกล่าวขวัญว่า Polymarket ยังเลือกที่จะปฏิเสธการคืนเงินเมื่อเผชิญกับเหตุการณ์ “การโจมตีด้านการกํากับดูแล” (การจัดการการลงคะแนนของ UMA Oracle)
ในกรณีของการไม่ดําเนินการอย่างเป็นทางการชุมชนเริ่มคิดออกว่าจะทําอย่างไรด้วยตัวเอง นักพัฒนาชุมชนได้สร้างเครื่องมือตรวจสอบโอเพ่นซอร์สที่เรียกว่า “Nonce Guard” ซึ่งตรวจสอบการยกเลิกคําสั่งซื้อบนห่วงโซ่ Polygon แบบเรียลไทม์ สร้างบัญชีดําของที่อยู่ผู้โจมตี และให้สัญญาณเตือนทั่วไปสําหรับบอทซื้อขาย อย่างไรก็ตาม โซลูชันนี้เป็นแพตช์สําหรับการเฝ้าระวังที่เพิ่มขึ้นโดยพื้นฐานแล้ว และไม่ได้แก้ปัญหาดังกล่าวโดยพื้นฐาน
ผลกระทบที่อาจเกิดขึ้นจากวิธีการโจมตีนี้อาจกว้างขวางกว่าวิธีการเก็งกําไรอื่นๆ
สําหรับผู้ดูแลสภาพคล่อง คําสั่งซื้อที่รอดําเนินการที่ดูแลอย่างหนักสามารถเคลียร์เป็นชุดได้โดยไม่มีการเตือนล่วงหน้า และความเสถียรและความสามารถในการคาดการณ์ของกลยุทธ์การทําตลาดจะหายไป ซึ่งอาจสั่นคลอนความเต็มใจที่จะให้สภาพคล่องบน Polymarket ต่อไปโดยตรง
สําหรับผู้ใช้ที่ใช้บอทซื้อขายอัตโนมัติ สัญญาณธุรกรรมที่ส่งคืนโดย API นั้นไม่น่าเชื่อถืออีกต่อไป และผู้ใช้ทั่วไปอาจประสบกับการขาดทุนอย่างมากเนื่องจากสภาพคล่องในทันทีระหว่างการซื้อขาย
สําหรับแพลตฟอร์ม Polymarket เองเมื่อผู้ดูแลสภาพคล่องไม่กล้าสั่งซื้อและหุ่นยนต์ไม่กล้าป้องกันความเสี่ยงความลึกของสมุดคําสั่งซื้อจะหดตัวลงอย่างหลีกเลี่ยงไม่ได้และวงจรการเสื่อมสภาพนี้จะทวีความรุนแรงขึ้นอีก
