Mapa de nuvem quântica

تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 energyedapp@Claire 📅 2026-04-03 03:15:30

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

Rótulo:
política
compartilhar:
FB X YT IG
energyedapp@Claire

energyedapp@Claire

Editor de blockchain e criptoativos, com foco empolíticaAnálise e insights de conteúdo de domínio

Comentário (10)

Reagan
Reagan 76dias atrás
De acuerdo, las aplicaciones blockchain deben romper el círculo.
Puntilla
Puntilla 76dias atrás
Estoy totalmente de acuerdo en que la competencia en las cadenas públicas será más intensa en el futuro.
Lea
Lea 76dias atrás
En la actualidad, las aplicaciones blockchain aún deben popularizarse.
claire
claire 77dias atrás
De acuerdo, el futuro es una era de colaboración abierta.
Sierra
Sierra 78dias atrás
Reconozca que la tecnología y el cumplimiento son igualmente importantes.
Finián
Finián 83dias atrás
De acuerdo, la tecnología cambia el mundo.
kurt
kurt 83dias atrás
¿Qué es la "Red Lightning"? ¿Cómo funciona?
finley
finley 84dias atrás
La industria está cada vez más madura.
Miguel
Miguel 84dias atrás
La identidad, la identidad en la cadena será más importante en el futuro.
ava
ava 96dias atrás
Después de cargar una transacción en la cadena, ¿es realmente completamente inmodificable?

Adicionar comentário

Conteúdo relacionado

「ブロックチェーン規制決定法」が CLARITY デジタル市場透明性法に正式に組み込まれ、上位 10 位の仮想通貨機関が称賛

「ブロックチェーン規制決定法」が CLARITY デジタル市場透明性法に正式に組み込まれ、上位 10 位の仮想通貨機関が称賛

2026-04-03
米国SEC委員長:DeFiプロトコルの「イノベーション免除」を計画しており、他者による悪意のある使用を罰すべきではない

米国SEC委員長:DeFiプロトコルの「イノベーション免除」を計画しており、他者による悪意のある使用を罰すべきではない

2026-04-03
中国警察:事件に関係した仮想通貨は現在香港取引所を通じて販売され、国庫に引き渡されている

中国警察:事件に関係した仮想通貨は現在香港取引所を通じて販売され、国庫に引き渡されている

2026-04-03
マスク氏は、すべての米国公務員に「先週何をしたか説明しなければ、解雇する」よう求めている。すべての主要政府機関は「彼を無視せよ」と命令した

マスク氏は、すべての米国公務員に「先週何をしたか説明しなければ、解雇する」よう求めている。すべての主要政府機関は「彼を無視せよ」と命令した

2026-04-03
銀行家らが詐欺組織と共謀して口座を開設し、その価格が初めて明らかになった。弁護士費用と同じくらい安いですか?

銀行家らが詐欺組織と共謀して口座を開設し、その価格が初めて明らかになった。弁護士費用と同じくらい安いですか?

2026-04-03
中国の主要金融業界7団体が共同で警告:仮想通貨、RWA、マイニングはすべて違法だ!海外のプラットフォームもサービス提供時に一線を越える

中国の主要金融業界7団体が共同で警告:仮想通貨、RWA、マイニングはすべて違法だ!海外のプラットフォームもサービス提供時に一線を越える

2026-04-03

Conteúdo popular

Haotian: ¿Por qué se pudieron recuperar los 15.000 cmETH pirateados por Bybit?

Haotian: ¿Por qué se pudieron recuperar los 15.000 cmETH pirateados por Bybit?

2026-04-03
 ¡No sólo la Federación! Varios bancos están considerando

¡No sólo la Federación! Varios bancos están considerando "bloquear los depósitos y retiros de divisas". ¿Cómo funciona la criptomoneda de Taiwán?

2026-04-03
 El exnovio del fundador de OpenAI, Sam Altman, fue asaltado a punta de pistola y saquearon 11 millones de dólares en BTC y ETH.

El exnovio del fundador de OpenAI, Sam Altman, fue asaltado a punta de pistola y saquearon 11 millones de dólares en BTC y ETH.

2026-04-03
 ¡SEGUNDO TIRO! Suspensión de la negociación de acciones de las empresas de reserva criptográfica QMMM y SDM: implica manipulación de precios y especulación

¡SEGUNDO TIRO! Suspensión de la negociación de acciones de las empresas de reserva criptográfica QMMM y SDM: implica manipulación de precios y especulación

2026-04-03
 ¿finalmente? El Ministerio de Justicia de Montenegro ordena la extradición de Do Kwon a Estados Unidos, el sueño del fundador de Terra de regresar a Corea del Sur se hace añicos

¿finalmente? El Ministerio de Justicia de Montenegro ordena la extradición de Do Kwon a Estados Unidos, el sueño del fundador de Terra de regresar a Corea del Sur se hace añicos

2026-04-03
 La Fundación Ethereum financió al fundador de Tornado Cash con 1,25 millones de dólares para ayudar a defender el

La Fundación Ethereum financió al fundador de Tornado Cash con 1,25 millones de dólares para ayudar a defender el "código de inocencia" en la demanda.

2026-04-03

Seções relacionadas

mercado analisar tecnologia política

Conteúdo popular

alquiler de energía tron Configuración del robot de energía energía tron Intercambio automático TRX Integración del pool de energía Robot de arrendamiento alquiler de energía trx Compra TRX Intercambio de flash TRX energía de la red tron Transferencia USDT gratuita Código fuente del robot Telegram TRX Energy Compra de energía TRON Arrendamiento e intercambio de energía TRX Intercambio TRX Intercambio de energía TRX Venta de energía TRON Configuración del robot de energía TG Telegram Comprar energía Tron Alquiler de energía TRON