تعرّض Polymarket لثغرة في المصادقة من طرف ثالث، وخسِر المستخدمون أموالهم

• ثغرة في مصادقة طرف ثالث تجاوزت حماية المصادقة ذات العاملين في Polymarket، مما سمح بالوصول غير المصرح به إلى الحسابات وسحب الأموال.
• أبلغ المستخدمون عن استنزاف الأرصدة، بما في ذلك حسابات عالية المستوى، مع خسائر تصل إلى آلاف الدولارات رغم عدم تعرض الأجهزة للاختراق.
• قامت Polymarket بإصلاح الثغرة وسيتواصل مع المستخدمين المتأثرين، لكن إجمالي الخسائر وأعداد الحسابات لا تزال غير معلنة.

أكدت Polymarket هذا الأسبوع حدوث اختراق أمني بعد أن أبلغ المستخدمون عن استنزاف الحسابات ونشاط تسجيل دخول مشبوه على المنصة. وقع الحادث على منصة سوق التوقعات الخاصة بـ Polymarket، مع ظهور تقارير على Reddit وX يوم الثلاثاء. ووفقًا للشركة، تجاوزت ثغرة في مصادقة طرف ثالث حماية العاملين، مما سمح بالوصول غير المصرح به وسحب الأموال.

تقارير المستخدمين تثير استجابة المنصة

جدير بالذكر أن المستخدمين بدأوا في الإبلاغ عن المشكلة بعد تلقيهم تنبيهات تسجيل دخول غير متوقعة مرتبطة بحساباتهم على Polymarket. أبلغ العديد من المستخدمين عن محاولات تسجيل دخول متعددة قبل اختفاء الأرصدة.

قال أحد مستخدمي Reddit إن رصيد حسابه انخفض إلى 0.01 دولار خلال الليل، رغم عدم تعرض الجهاز للاختراق. وأبلغ مستخدم آخر على X عن خسائر حوالي 2000 دولار، رغم تفعيل المصادقة ذات العاملين.

ومع ذلك، لم تقتصر التقارير على منصة واحدة. قال مستخدمون آخرون على X إن المهاجمين استنزفوا حسابات عالية التصنيف وحسابات اختبار. ادعى أحد المستخدمين أن حسابه في Polymarket ضمن “أفضل 1000” حساب تم تفريغه بالكامل. ومع انتشار هذه التقارير، تساءل المستخدمون عن كيفية تجاوز المهاجمين لطبقات الأمان الموجودة.

أداة تسجيل دخول طرف ثالث تحت التدقيق

مع تحول الانتباه إلى طرق المصادقة، أشار العديد من المستخدمين إلى Magic Labs كمصدر محتمل. تقدم Magic Labs خدمات تسجيل الدخول عبر البريد الإلكتروني وتوليد محافظ تلقائيًا للمستخدمين.

تسمح الأداة للمستخدمين الجدد بدون محافظ عملات رقمية بالوصول إلى منصات مثل Polymarket. زعم المستخدمون أن الحسابات المتأثرة تم إنشاؤها باستخدام Magic Labs، رغم عدم تلقيهم رسائل تصيد احتيالي.

وفي الوقت نفسه، لم تؤكد Polymarket هوية المزود. ومع ذلك، ذكرت الشركة أن الثغرة نشأت خارج البنية التحتية الأساسية لها. وأكدت Polymarket أن المشكلة كانت من مصدر مزود تسجيل دخول طرف ثالث وليس من أنظمتها الداخلية.

Polymarket تؤكد الإصلاح وتحتفظ بالتفاصيل

وفقًا لبيان شارك على Discord الخاص بـ Polymarket، حددت الشركة الثغرة وقامت بحلها. وقالت المنصة إن المشكلة أثرت على “عدد قليل من المستخدمين” وأكدت عدم وجود خطر مستمر. وأضافت Polymarket أنها ستتواصل مباشرة مع المستخدمين المتأثرين.

ومع ذلك، لم تكشف Polymarket عن عدد الحسابات المتأثرة أو إجمالي الأموال المفقودة. كما لم ترد Magic Labs على استفسارات وسائل الإعلام. ومن الجدير بالذكر أن هذا يأتي بعد تقارير مشابهة من المستخدمين في أواخر 2024 تتعلق بتسجيلات الدخول عبر Google.