تؤكد Polymarket حدوث اختراق لمحفظة داخلية – أموال المستخدمين لا تزال آمنة

في 14 يونيو 2026، أكد بوليمارك اختراق محفظة داخلية أرسل موجات عبر مجتمع سوق التنبؤات. أبلغت شركة تحليلات السلسلة Bubblemaps عن الاختراق، الذي تضمن سلسلة من التحويلات الآلية المشبوهة من محفظة تشغيل مرتبطة بنظام المكافآت الخاص بالمنصة. تحركت بوليمارك بسرعة لتوضيح أن أموال المستخدمين لا تزال آمنة، ونسبت الحادث إلى اختراق مفتاح خاص بدلاً من وجود خلل في العقود الذكية الأساسية للمنصة. يهم هذا التمييز بشكل كبير: ثغرة في العقد الذكي كانت ستهدد كل دولار على المنصة، بينما يمثل اختراق محفظة تشغيل، على الرغم من خطورته، مشكلة محصورة. لأي شخص يراقب تطور تهديدات أمن منصات التمويل اللامركزي في الوقت الحقيقي، يوفر هذا الحادث دراسة حالة مفيدة حول كيفية تعامل أسواق التنبؤ الحديثة مع فشل الأمان، وما الذي سار بشكل صحيح، وما الذي لا يزال بحاجة إلى إصلاح.

الاكتشاف: تنبيهات Bubblemaps وتدفقات الخروج الآلية

لم يكن الإشارة العامة الأولى من بوليمارك نفسه، بل من Bubblemaps، أداة تصور على السلسلة تراقب تجمعات المحافظ وتدفقات الرموز عبر شبكات متعددة. أبلغ نظام التنبيه الآلي الخاص بهم عن نمط من التدفقات الخارجة من عنوان مرتبط بمعروف لبوليمارك على شبكة بوليجون، مما أدى إلى تدقيق فوري من قبل مجتمع الأمان الرقمي الأوسع.

خلال ساعات، أكد باحثون مستقلون النتائج. كانت المحفظة المعنية قد تم تصفيتها بشكل منهجي من خلال سلسلة من المعاملات المتطابقة، كل منها ينقل كمية ثابتة من رموز POL على فترات منتظمة. الدقة الميكانيكية للتحويلات كانت واضحة جدًا: لا يقوم المشغل البشري بنقل الأموال بنمط صارم ومتكرر كهذا.

التعرف على النمط: تحويلات POL متكررة بقيمة 5000

نفذ المهاجم تحويلات بقيمة 5000 POL تقريبًا كل 12 دقيقة على مدى عدة ساعات. يُعد هذا النوع من الاستخراج التدريجي أسلوبًا شائعًا. بدلاً من تفريغ محفظة في معاملة كبيرة واحدة ستثير تنبيهات على الفور وربما يتم استغلالها أو تجميدها، قام المهاجم بتوزيع السرقة عبر العديد من المعاملات الصغيرة.

بحلول الوقت الذي أطلقت فيه Bubblemaps الإنذار، غادر حوالي 230,000 POL (بقيمة تقريبية 115,000 دولار في ذلك الوقت) المحفظة بالفعل. كانت وحدة الأرقام والتوقيت موحدة جدًا، مما يوحي بأن سكريبت أو بوت يتولى عملية الاستخراج، وليس سحب يدوي.

تتبع عنوان المهاجم على شبكة بوليجون

تبع المحققون على السلسلة بسرعة العنوان المستلم. لم يكن لدى عنوان المهاجم سجل معاملات سابق قبل الحادث، وهو أمر معتاد مع المحافظ الجديدة التي تُستخدم للاستغلالات. كانت شفافية بوليجون تعني أن كل خطوة كانت مرئية علنًا، لكن سرعة الاستخراج وإخفائه اللاحق جعل التدخل في الوقت الحقيقي صعبًا. بدأت شركات التحليل الجنائي للبلوكشين، بما في ذلك Chainalysis و Arkham Intelligence، في تصنيف العناوين المرتبطة خلال 24 ساعة.

البيان الرسمي لبوليمارك: اختراق المحفظة الداخلية

جاء رد بوليمارك بعد حوالي ست ساعات من تنبيه Bubblemaps. نشرت المنصة بيانًا على X (تويتر سابقًا) ومدونتها الرسمية تؤكد الاختراق وتقدم تفاصيل أولية. أشار البيان صراحة إلى أن أرصدة المستخدمين، أو مراكز السوق، أو آليات الحل لم تتأثر. وصفت بوليمارك الحادث بأنه “اختراق مفتاح خاص لمحفظة تشغيل داخلية”، مع رسم خط واضح بين هذا الاختراق وأي ثغرة نظامية في بنية المنصة.

تسرب المفتاح الخاص مقابل ثغرة في العقد الذكي

هذا التمييز حاسم ويستحق فهمه بوضوح. يعني ثغرة في العقد الذكي أن الكود الذي يحكم الوظائف الأساسية للمنصة (الإيداعات، السحوبات، إنشاء السوق، الحلول) يحتوي على خلل يمكن للمهاجم استغلاله. يمكن أن يؤدي هذا النوع من الثغرات إلى تصفية البروتوكولات بأكملها. رأينا ذلك مع اختراق Euler Finance في 2023 واستغلال Mango Markets في 2022.

أما الاختراق للمفتاح الخاص فهو مختلف تمامًا. يعني أن شخصًا ما حصل على وصول إلى المفتاح التشفيري الذي يتحكم في محفظة معينة. عملت العقود الذكية للمنصة تمامًا كما هو مصمم؛ المشكلة أن طرفًا غير مصرح له حصل على بيانات اعتماد لعنوان معين. فكر في الأمر كسرقة مفتاح مكتب مدير البنك مقابل العثور على خلل في آلية قفل الخزنة. كلاهما سيء، لكن مدى الضرر يختلف بشكل كبير.

أجرت بوليمارك آخر تدقيق لعقودها الذكية، أجرته شركة Trail of Bits في أوائل 2026، ولم يجد ثغرات حرجة. تظل نتائج تدقيق العقود الذكية لبوليمارك ذات صلة هنا لأنها تؤكد سلامة الكود الذي يحكم أموال المستخدمين فعليًا.

دور المحفظة التشغيلية في دفع المكافآت

كانت المحفظة المخترقة تؤدي وظيفة محددة: توزيع مكافآت التعدين السيولة والحوافز الترويجية للمتداولين النشطين. كانت تحتوي على رموز POL مخصصة لهذه البرامج، وليس USDC أو عملات مستقرة أخرى تُستخدم لمراكز السوق.

كانت هذه المحفظة تعمل كمحفظة نشطة، مما يعني أن مفتاحها الخاص مخزن بطريقة تسمح بمعاملات آلية ومتكررة. المقايضة بين أمان المحفظة النشطة والتخزين البارد معروفة جيدًا في الصناعة: المحافظ النشطة تتيح السرعة والأتمتة لكنها تحمل مخاطر أعلى لأن مفاتيحها متاحة للأنظمة عبر الإنترنت. التخزين البارد أكثر أمانًا بكثير لكنه غير عملي للمدفوعات التلقائية والمتكررة. الحاجة التشغيلية لهذا التصميم هو بالضبط ما جعله عرضة للخطر.

تقييم الأثر وطمأنة سلامة المستخدمين

كان الضرر المالي من هذا الحادث محدودًا نسبيًا. يمثل حوالي 115,000 دولار من POL المسروق جزءًا صغيرًا من القيمة الإجمالية المقفلة لبوليمارك، التي تجاوزت 480 مليون دولار وقت الاختراق. لم يتأثر حجم التداول اليومي للمنصة، ولم تتوقف أو تتعطل أي أسواق.

لعبت بنية بوليمارك دورًا هامًا في الحد من الضرر. تفصل المنصة بين المحافظ التشغيلية والبنية التحتية للعقود الذكية التي تحتفظ بودائع المستخدمين وتدير نتائج السوق. هذا الفصل هو خيار تصميم متعمد، وقد أثمر هنا.

عزل ودائع المستخدمين وحلول السوق

تُحتفظ أموال المستخدمين على بوليمارك ضمن عقود ذكية على شبكة بوليجون، وتتحكم فيها برمجيات البروتوكول بدلاً من مفتاح خاص واحد. تتم عمليات الإيداع، السحب، وحلول السوق عبر هذه العقود. لم يكن للمحفظة التشغيلية المخترقة سلطة على هذه الوظائف.

يتبع هذا الفصل مبدأ أن بروتوكولات التمويل اللامركزي الناضجة تتبناه بشكل متزايد: تقليل عدد المحافظ ذات الأذونات الواسعة. يمكن للمحفظة التشغيلية فقط إرسال POL للمكافآت؛ لا يمكنها التفاعل مع أرصدة المستخدمين، تعديل معلمات السوق، أو تفعيل الحلول. حتى لو أراد المهاجم التلاعب بالأسواق، فإن هذه المحفظة ببساطة تفتقر إلى الأذونات لذلك.

الحالة الحالية لعمليات المنصة والسيولة

حتى وقت كتابة هذا، تعمل بوليمارك بشكل كامل. تم إيقاف توزيع المكافآت مؤقتًا بينما قام الفريق بتدوير المفاتيح ونشر محفظة بديلة. أكدت المنصة أن المكافآت المستحقة للمستخدمين ستُكرم من خلال تخصيص خزانة احتياطية منفصلة.

ظل السيولة عبر الأسواق الرئيسية، بما في ذلك أسواق التنبؤات السياسية الأمريكية وعقود الأحداث العالمية، مستقرة. لم يحدث ارتفاع كبير في عمليات السحب خلال 48 ساعة بعد الكشف، مما يشير إلى أن المجتمع قبل بشكل كبير تفسير بوليمارك والطبيعة المحصورة للاختراق.

التداعيات الأمنية لأسواق التنبؤات اللامركزية

يثير هذا الاختراق أسئلة أوسع حول كيفية إدارة أسواق التنبؤ، ومنصات التمويل اللامركزي بشكل عام، للتوازن بين اللامركزية وراحة التشغيل. تعمل بوليمارك كنموذج هجين: حيث تدير العقود الذكية جوهر السوق، لكن الوظائف الداعمة (المكافآت، التحليلات، دعم العملاء) تعتمد على بنية تحتية مركزية أكثر تقليدية.

هذا النموذج الهجين شائع في التمويل اللامركزي في 2026. تظل العمليات اللامركزية بالكامل غير عملية للمنصات التي تحتاج إلى استقطاب المستخدمين التقليديين، والامتثال للوائح مثل MiCA في أوروبا، والحفاظ على تجارب مستخدم تنافسية. المقايضة هي أن المكونات المركزية تقدم نقاط فشل مركزية.

مخاطر المحافظ التشغيلية المركزية

أي محفظة يتحكم فيها مفتاح خاص واحد هدف محتمل. لا تمتد بروتوكولات أمان سوق التنبؤ التي تحكم العقود الذكية للمستخدمين إلى هذه المحافظ التشغيلية إلا إذا صممها الفريق بشكل صريح لذلك. تشمل طرق الهجوم الشائعة:

• اختراق أجهزة المطورين أو بيئات السحابة حيث تُخزن المفاتيح
• هجمات التصيد التي تستهدف أعضاء الفريق الذين لديهم وصول للمحفظة
• تهديدات داخلية من موظفين حاليين أو سابقين
• هجمات سلسلة التوريد على برامج إدارة المفاتيح

لم يُنسب حادث بوليمارك بعد إلى طريقة هجوم محددة، على الرغم من أن المنصة ذكرت أن التحقيق جارٍ بمساعدة شركات أمن خارجية.

أفضل الممارسات لتقليل تعرض المحافظ النشطة

يمكن أن تقلل عدة ممارسات من خطر وتأثير اختراق المحافظ النشطة:

• استخدام محافظ متعددة التوقيع لأي عنوان يحمل قيمة كبيرة، حتى لو كانت تشغيلية
• تنفيذ حدود إنفاق تحد من المبلغ الذي يمكن أن تنقله معاملة واحدة أو خلال فترة زمنية
• تدوير المفاتيح بجدول زمني منتظم وبعد أي تغييرات في الموظفين
• تخزين مفاتيح المحافظ النشطة في وحدات أمان الأجهزة بدلاً من الحلول البرمجية
• مراقبة التدفقات الخارجة في الوقت الحقيقي باستخدام تنبيهات آلية لضبطها للكشف عن أنماط غير طبيعية

أشارت بوليمارك إلى أنها ستتبنى العديد من هذه التدابير لمحفظتها التشغيلية البديلة، بما في ذلك متطلبات التوقيع المتعدد وحدود الإنفاق لكل معاملة.

المراقبة المستمرة وخطوات الإصلاح المستقبلية

كان رد بوليمارك على اختراق المفتاح الخاص للمحفظة بشكل شفاف إلى حد كبير، مما يرسخ سابقة إيجابية. التزمت المنصة بنشر تقرير كامل بعد الوفاة خلال 30 يومًا، يتضمن السبب الجذري لتسرب المفتاح، جدول زمني مفصل، وخطوات الإصلاح التي يتم تنفيذها.

يجب أن يلاحظ نظام سوق التنبؤات الأوسع. مع تنافس منصات مثل بوليمارك، Kalshi، والوافدين الجدد على حصة السوق، ستشكل حوادث الأمان بشكل متزايد ثقة المستخدمين والتصورات التنظيمية. يمكن أن يعزز التعامل الجيد مع الاختراق، مع الكشف السريع، والتواصل الواضح، والاحتواء الموثق، من مصداقية المنصة. أما إذا تم التعامل معه بشكل سيئ، مع تأخيرات، أو إخفاء، أو خسائر للمستخدمين، فقد يكون مميتًا.

بالنسبة للمستخدمين، الدرس واضح: افهم أين توجد أموالك فعليًا. إذا كانت في عقد ذكي مع كود مدقق وليس لديه وصول بمفتاح واحد، فأنت في فئة مخاطر مختلفة تمامًا عن تلك التي تكون فيها أموالك في محفظة يتحكم فيها شخص واحد عبر حاسوبه المحمول. اطرح السؤال. اقرأ تقارير التدقيق. وكن يقظًا عندما يرفع محللو السلسلة مثل Bubblemaps علامات تحذير، لأنها غالبًا ما ترى المشاكل قبل أن تفعل المنصات نفسها.