تحذير من حادث أمني في Polymarket: كيف تؤدي ثغرة في التوثيق من طرف ثالث إلى مسح محافظ المستخدمين

منصة السوق اللامركزية للتنبؤات Polymarket في 25 ديسمبر أكدت أنه بسبب ثغرة أمنية في مزود خدمة التحقق من الهوية من طرف ثالث، تم سرقة من أموال المستخدمين، وتم مسح أموال الحسابات. المستخدمون المتأثرون سجلوا عبر Magic Labs، وهي خدمة تتيح للمستخدمين تسجيل الدخول باستخدام البريد الإلكتروني وإنشاء محفظة إيثريوم غير موكلة تلقائيًا.

هذه الثغرة تجاوزت تدابير الأمان القياسية مثل التحقق بخطوتين، مما أثار اهتمام المجتمع بشكل واسع حول أمان تكاملات الطرف الثالث في المنصات المشفرة.

![]https://img-cdn.gateio.im/social/moments-6382fd16e5787c8d739878881ec3ed52

01 ملخص الحدث: مخاطر الأصول الناتجة عن ثغرة الطرف الثالث

السرقة التي تعرض لها مستخدمو Polymarket لم تكن نتيجة لثغرة في العقود الذكية الأساسية للمنصة، بل كانت بسبب ثغرة أمنية أدخلها مزود خدمة التحقق من الهوية من طرف ثالث الذي تعتمد عليه.

قالت المنصة في قناة Discord الرسمية: “لقد اكتشفنا مؤخرًا وحلينا مشكلة أمنية تؤثر على عدد قليل من المستخدمين، وهذه المشكلة ناتجة عن ثغرة أدخلها مزود خدمة التحقق من الهوية من طرف ثالث.”

على الرغم من أن المنصة زعمت أن المشكلة قد تم إصلاحها وأنه لا يوجد خطر مستمر، إلا أن عدد المستخدمين المتأثرين والخسائر لم يتم الكشف عنهما، مما أدى إلى فراغ معلوماتي أثار قلق المجتمع بشأن الحجم الحقيقي والجدية للحدث.

02 عملية الهجوم: استعادة حالات الضحايا النموذجية

وفقًا لتقارير المستخدمين على وسائل التواصل الاجتماعي، تظهر هذه الحادثة نمطًا واضحًا.

وصف أحد مستخدمي Reddit تجربته بالتفصيل: “اليوم استيقظت ووجدت إشعارات بمحاولة تسجيل دخول إلى Polymarket ثلاث مرات — جهازي لم يتعرض للاختراق، وGoogle لم يكتشف أي نشاط مشبوه، وكل الخدمات الأخرى تعمل بشكل طبيعي.”

ومع ذلك، عند دخوله إلى Polymarket للتحقق، وجد أن جميع الصفقات قد أُغلقت، ورصيد الحساب بقي 0.01 دولار، مما يعني أن المحفظة تم مسحها تقريبًا بالكامل.

وذكر مستخدم آخر تجربة مماثلة، على الرغم من عدم النقر على روابط مشبوهة وتفعيل التحقق المزدوج عبر البريد الإلكتروني، إلا أن المهاجمين تمكنوا من مسح أموال حسابه بعد تلقي ثلاث إشعارات بمحاولات تسجيل دخول.

03 الفئة المتضررة: مستخدمو Magic Labs يصبحون الهدف الرئيسي

الضحايا في هذا الحادث لديهم نقطة مشتركة: معظمهم سجلوا حساباتهم على Polymarket عبر خدمة Magic Labs.

Magic Labs هي خدمة تسجيل دخول طرف ثالث مصممة للمبتدئين في عالم العملات المشفرة، تسمح للمستخدمين بتسجيل الدخول باستخدام البريد الإلكتروني فقط، ويقوم النظام تلقائيًا بإنشاء محفظة إيثريوم غير موكلة في الخلفية. هذا التصميم يقلل بشكل كبير من عتبة الدخول لعالم التشفير، لكنه يفتح أيضًا واجهة هجوم جديدة.

يبدو أن المهاجمين تمكنوا من معرفة طرق تجاوز آليات التحقق المتعددة، وليس عبر هجمات التصيد التقليدية أو برمجيات خبيثة على أجهزة المستخدمين. هذا أثار مخاوف جدية حول إمكانية أن تكون خدمات التحقق من الهوية من طرف ثالث نقطة فشل واحدة.

04 رد المنصة: غموض المعلومات يثير مزيدًا من الشكوك

عند ردها على الحادث، أظهرت Polymarket ميلًا واضحًا لـحجب المعلومات، مما أدى إلى طرح المزيد من الأسئلة بدلاً من الإجابات.

أولاً، اكتفت المنصة بالإشارة بشكل غامض إلى أن “عددًا قليلاً من المستخدمين” تأثروا، دون تقديم أرقام أو نسب محددة. ثانيًا، لم تكشف عن إجمالي المبالغ المسروقة، مما حال دون تقييم مدى خطورة الحادث من قبل المجتمع. ثالثًا، لم تحدد Polymarket بشكل واضح مزود خدمة الطرف الثالث المعني، رغم أن المجتمع يعتقد بشكل عام أنه Magic Labs.

وفيما يخص التفاصيل التقنية، زعمت Polymarket أن المشكلة “تم حلها”، لكنها لم تشرح الإجراءات التي اتخذتها بشكل محدد.

وأشار بعض أعضاء المجتمع إلى أنه بعد الحادث، يبدو أن Polymarket زاد طول كلمة المرور من ثلاثة أرقام إلى ستة أرقام، لكن الشركة لم تصدر تعليقًا رسميًا على ذلك.

05 الدروس الأمنية: المخاطر النظامية لتكاملات الطرف الثالث

هذه ليست المرة الأولى التي تتعرض فيها Polymarket لحادث أمني بسبب خدمات طرف ثالث. ففي سبتمبر 2024، أبلغ العديد من المستخدمين الذين سجلوا عبر حسابات Google عن تحويل أموال USDC الخاصة بهم إلى عناوين تصيد.

وفي الشهر الماضي، أدى هجوم تصيد عبر قسم التعليقات في المنصة إلى خسائر تجاوزت 500,000 دولار. تكشف هذه الأحداث عن تحدٍ عام يواجه منصات التشفير: حتى لو كانت العقود الذكية الأساسية آمنة، فإن الاعتماد على خدمات طرف ثالث قد يشكل نقطة ضعف أمنية.

وأشارت تحليلات الصناعة إلى أن الاعتماد على بنية تحتية موحدة للتحقق من الهوية غير خاضعة لسيطرة المنصة مباشرة يجعل أنظمة التكامل أكثر عرضة للهجمات.

06 نصائح للمستخدمين: ممارسات حماية الأصول

بالنسبة لمستخدمي العملات المشفرة، تقدم حادثة Polymarket دروسًا مهمة في الأمان.

وأهم نصيحة مباشرة هي تجنب استخدام خيارات تسجيل الدخول عبر طرف ثالث، واستبدالها بمحفظة تتحكم بمفتاحها الخاص وتربط مباشرة بالمنصة. على الرغم من أن هذا يزيد من عتبة الاستخدام، إلا أنه الطريقة الأفضل لضمان أمان الأصول حتى تثبت المنصة قدرتها على حماية تكاملات الطرف الثالث.

يجب على المستخدمين مراجعة نشاط حساباتهم بانتظام، وتفعيل جميع ميزات الأمان المتاحة، والبقاء يقظين لأي محاولات تسجيل دخول غير معتادة. كما أن توزيع الأصول وعدم وضع جميع الأموال في منصة واحدة هو استراتيجية معقولة لتقليل المخاطر.

وبما أن Polymarket تخطط للانتقال إلى شبكة Layer 2 خاصة بها على Polygon، ينبغي للمستخدمين أن يكونوا أكثر حذرًا خلال فترة الانتقال لضمان أمان أصولهم.

التطلعات المستقبلية

حتى 25 ديسمبر، بلغ إجمالي حجم التداول على منصة Polymarket @E5@، وبلغ عدد المستخدمين النشطين شهريًا 419,309. عندما استيقظ المستخدمون ليجدوا حساباتهم تحتوي على 0.01 دولار فقط، لم يعد الأمر مجرد خلل تقني، بل أصبح اختبارًا حقيقيًا لسلامة بنية النظام البيئي للعملات المشفرة بأكملها.

أمان أموال المستخدمين هو الركيزة الأساسية لعمل منصة Gate. في ظل التحديات الأمنية المعقدة التي يواجهها قطاع التشفير، تواصل Gate تعزيز بنيتها التحتية الأمنية وتوفير آليات حماية متعددة للأصول للمستخدمين.