تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 energyedapp@Claire 📅 2026-04-03 02:52:30

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

Etikett：

Politik

Aktie：

FB X YT IG

Kommentar (10)

Kaï 76vor Tagen

Il est vrai que la protection de la vie privée devient de plus en plus importante.

Brad 76vor Tagen

Le potentiel de DeFi n’est pas encore pleinement exploité.

Alice 76vor Tagen

L'identité, l'identité sur la chaîne sera plus importante à l'avenir.

Spencer 76vor Tagen

Quelle quantité approximative de données peut être stockée dans un bloc?

Albert 76vor Tagen

L’informatique quantique est une préoccupation à long terme, mais les mises à niveau des protocoles sont une préoccupation à court terme.

Ursule 76vor Tagen

Les contrats intelligents ne peuvent pas gérer des événements complexes en dehors de la chaîne et présentent de grandes limites.

Emma 79vor Tagen

L'industrie sera plus stable à l'avenir.

Youri 82vor Tagen

À l’avenir, les récits de l’industrie seront plus réalistes.

Harley 86vor Tagen

Reconnaissance, le réseau de valeurs se forme.

Martine 104vor Tagen

La gouvernance communautaire est inefficace et aboutit souvent à une impasse.

تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

energyedapp@Claire

Kommentar (10)

Kommentar hinzufügen

Verwandte Inhalte

تم إرسال إلغاء "قواعد وسيط التمويل اللامركزي" التابع لمصلحة الضرائب إلى ترامب لتوقيعه ليصبح قانونًا، وهو انتصار كبير لصناعة العملات المشفرة

أثارت خطة بنك إنجلترا "للحد من مقتنيات العملات المستقرة" غضبًا عامًا: فهي لن تنجح على الإطلاق وستتخلف فقط عن منافسة التشفير العالمية.

تقرير تشيناليسيس: قراصنة كوريا الشمالية سرقوا ٢ مليار دولار أمريكي من أصول العملات المشفرة في عام ٢٠٢٥، وأصبحت بايبيت الضحية الأكبر

اختلس المدير المالي لشركة برمجيات مبلغ 35 مليون دولار من أموال العملاء للمقامرة على DeFi وخسرها كلها

يحذر المحققون في السلسلة: يشتبه في أن 330 مليون دولار من عملة البيتكوين قد تمت سرقتها وغسلها في Monero، وارتفعت عملة XMR مرة واحدة بنسبة 50٪

Beliebte Inhalte

Les sept principales associations chinoises du secteur financier mettent en garde conjointement : la crypto-monnaie, le RWA et le minage sont tous illégaux ! Les plateformes étrangères franchissent également des lignes rouges lorsqu’elles fournissent des services

Google Play a supprimé 17 "bourses étrangères non enregistrées" coréennes KuCoin, MEXC, CoinW... toutes bloquées

Les bénéfices du Bitcoin américain seront déduits de 5% une fois rapatriés à Taiwan! Trump envisage de présenter un nouveau projet de loi : une taxe sur les transferts des citoyens non américains

TIR SEC ! Suspension des opérations boursières des sociétés de réserves cryptographiques QMMM et SDM: impliquant manipulation de prix et spéculation

Do Kwon plaide coupable de fraude: j'ai trompé les investisseurs qui ont acheté UST/LUNA, je suis vraiment désolé... J'espère obtenir une réduction de peine substantielle

Seulement condamné à 3 ans de probation ! Le père de l'avocat de 31 ans est juge et il a collaboré avec la deuxième génération de riches maléfiques pour « escroquer 400 millions » et a célébré leur succès en se droguant et en organisant une soirée sexuelle.

Verwandte Abschnitte

Beliebte Inhalte