تعرض Polymarket لهجوم، وسرقة 11 محفظة بقيمة 3.1 مليون دولار، وهي المرة الثانية التي يتعرض فيها لهجوم في سلسلة التوريد خلال ستة أشهر.

ارتفعت خسائر حادثة هجوم سلسلة التوريد في Polymarket إلى حوالي 3.1 مليون دولار، مع نهب 11 محفظة مستخدم؛ ورغم أن المنصة وعدت برد كامل قبل أيام، إلا أنها لم ترد علنًا حتى صباح السبت. (ملخص سابق: ذكرت نيويورك تايمز أن Meta تطور تطبيق سوق التنبؤات 'Arena'، هل يشعر زوكربيرغ بالغيرة من Polymarket؟) (خلفية إضافية: إنذار أمني جديد في DeFi! اختراق Token of Power بقيمة 1.58 مليون دولار، وذهبت الأموال المسروقة بالكامل إلى Tornado Cash)

تعرض سوق التنبؤات اللامركزي Polymarket لهجوم في سلسلة التوريد هذا الأسبوع. وفقًا لتحديث من شركة تحليلات blockchain AMLBot يوم السبت على X: تم نهب 11 محفظة مستخدم، وارتفعت الخسائر إلى حوالي 3.1 مليون دولار، وكانت الأموال مقومة بالرمز الأصلي للمنصة PUSD، وتم نقلها فورًا عبر جسر Polygon إلى شبكة Ethereum الرئيسية.

Polymarket تحت الهجوم

تم سحب أموال مستخدمي Polymarket بحوالي 3.1 مليون دولار من PUSD على Polygon عبر تصيد/تنفيذ مفوض خبيث EIP-7702.

تم تحويل الأموال إلى USDC.e عبر Relay، ثم نقلها إلى Ethereum، وتحويلها إلى ETH، وتجميعها في… pic.twitter.com/bG3GYZZ1D9

— AMLBot (@AMLBotHQ) 27 يونيو 2026

هجوم سلسلة التوريد: كود خبيث من الواجهة الأمامية

وقع الحادث يوم الخميس. أصدرت Polymarket بيانًا رسميًا على X: 'اكتشفنا صباح اليوم أن موردًا تابعًا لجهة خارجية قد تم اختراقه، وتم حقن كود خبيث في الواجهة الأمامية لبعض المستخدمين، وقد تم السيطرة على التبعية المتأثرة وإزالتها، ونحن نتواصل مع المستخدمين المتأثرين وسنقدم ردًا كاملاً.' وأكدت المنصة أن عقود Polygon الذكية نفسها لم تتأثر، وأن هذا هجوم سلسلة توريد يستهدف الواجهة الأمامية، حيث تمكن المخترق من اختراق الحزمة الخارجية التابعة، وليس منطق العقد.

الضحية Ash قال على X إنه لم يعرف السبب عندما تم اختراق محفظته، وأدرك لاحقًا أن الأموال قد تم تحويلها، وشارك علنًا عنوان محفظته وعنوان المهاجم، ليصبح من أوائل حالات الضحايا العلنية.

المنصة تتعهد برد الأموال، لكن المشكلة الأمنية ليست الأولى

William LeGate، الشخص المرتبط بالمؤسس المشارك لـ Polymarket، أعلن علنًا عن التعويض الكامل، مؤكدًا أن العملاء 'لن يخسروا'. ومع ذلك، هذه ليست المرة الأولى التي يواجه فيها Polymarket مخاطر أمنية.

أشار المحقق على السلسلة ZachXBT في مارس من هذا العام إلى أن عقدين ذكيين على Polygon يشتبه في ارتباطهما بـ Polymarket تم تحويل منهما أكثر من 520 ألف دولار، وردت المنصة آنذاك بأن الأموال آمنة. وفي وقت سابق في ديسمبر الماضي، بعد أن أبلغ المستخدمون تدريجيًا عن فقدان الأموال وعمليات تسجيل دخول مشبوهة، أكدت المنصة على Discord حادثة أمنية، وألقت باللوم على مزود تسجيل دخول تابع لجهة خارجية غير معروف، وهو نفس أسلوب الهجوم الحالي: اختراق طرف ثالث، وأصبحت الواجهة الأمامية لـ Polymarket نقطة انطلاق للهجوم.

سؤالان: هل سيتم الوفاء بوعد رد الأموال؟ هل يمكن استرداد 3.1 مليون دولار من المهاجم؟ وهل ستنشر Polymarket التفاصيل التقنية الكاملة لثغرة المورد الخارجي؟ هذه الأسئلة الثلاثة ستكون محور اهتمام السوق في الفترة القادمة.