تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>