Récemment, un incident sur le marché de prévision météorologique de Polymer Market est assez intéressant. Il y a eu une attaque qui a permis de voler 34 000 dollars avec un sèche-cheveux, mais ce n’est pas simplement une escroquerie, cela révèle une vulnérabilité structurelle dans l’ensemble du marché de prévision.

L’origine de l’incident remonte à avril. Un capteur météorologique installé à l’aéroport Charles de Gaulle à Paris a enregistré une hausse soudaine de 4 degrés en seulement 12 minutes. Ensuite, le même phénomène s’est reproduit neuf jours plus tard. Dans les deux cas, un certain intervalle de température a été prédicté dans le marché « Température maximale à Paris » de Polymer Market. Grâce à deux manipulations calculées, 34 000 dollars ont été transférés vers un compte anonyme ouvert il y a seulement 48 heures.

Les météorologues français ont rapidement détecté une anomalie. Les autres stations d’observation environnantes n’ont pas montré le même changement, ni de variations de vent ou d’humidité. La conclusion était claire : quelqu’un avait placé un appareil de chauffage près du capteur. Par la suite, Météo France a découvert des traces de falsification physique et a porté plainte officiellement.

Ce qui est important ici, c’est que cet attaque ne concerne pas une vulnérabilité des contrats intelligents ou un problème de blockchain, mais une faille dans les règles elles-mêmes. Le marché météorologique de Polymer Market dépend entièrement d’un seul capteur. Il n’y a pas de vérification à plusieurs endroits, ni de filtrage des valeurs anormales. Les règles ne prévoient pas de correction des données après paiement, donc une fois que des données contaminées sont confirmées, c’est fini.

Certains appellent cela une « attaque oracle physique ». Contrairement aux attaques d’oracles numériques traditionnels, cela contourne la logique on-chain en influençant directement un capteur physique en métal dans le monde réel. Le coût est d’environ 30 euros pour un sèche-cheveux, et le rendement peut atteindre plusieurs dizaines de milliers de dollars. Cette divergence extrême entre coût et gain remet en question la fiabilité du marché, même si ce n’est pas une contamination par mème.

Après l’incident, Polymer Market n’a pas publié de déclaration officielle, mais a simplement changé la source de données de l’aéroport Charles de Gaulle à l’aéroport de Le Bourget. Ils ne remboursent pas non plus les 34 000 dollars déjà payés. Il semble plus simple de remplacer le capteur que d’admettre une faille.

Ce que cela suggère, c’est que la conception des marchés de prévision est vraiment difficile. Éliminer un point de défaillance unique, gérer l’accès physique, assurer la flexibilité du mécanisme de paiement. Tout cela est nécessaire, mais n’est pas mis en œuvre. Si un marché existe où la température peut grimper de 0,1 % à 95 %, quelqu’un cherchera forcément à en profiter. Si les règles sont laxistes, un sèche-cheveux suffit.