منصة بوليماركت، وهي سوق توقعات لامركزي، أكدت في 25 ديسمبر أن أموال بعض المستخدمين قد سُرقت وتم مسح أرصدة حساباتهم بالكامل نتيجة ثغرة أمنية في مزود مصادقة تابع لطرف ثالث. المستخدمون المتضررون سجلوا غالبًا عبر خدمة Magic Labs، التي تتيح تسجيل الدخول بالبريد الإلكتروني وتقوم تلقائيًا بإنشاء محفظة إيثيريوم غير احتجازية.

وقد سمحت هذه الثغرة بتجاوز إجراءات الأمان المعتادة مثل المصادقة الثنائية، مما أثار قلقًا واسعًا في السوق بشأن أمان تكاملات الطرف الثالث على منصات العملات الرقمية.

01 لمحة عن الحادثة: مخاطر الأصول الناتجة عن ثغرات الطرف الثالث

لم يكن سبب سرقة أصول مستخدمي بوليماركت ناجمًا عن ثغرة في العقود الذكية الأساسية للمنصة، بل جاء نتيجة خلل أمني في مزود مصادقة خارجي تعتمد عليه المنصة.

وفي قناتها الرسمية على Discord، ذكرت المنصة: "اكتشفنا مؤخرًا وحللنا مشكلة أمنية أثرت على عدد محدود من المستخدمين، وقد نتجت عن ثغرة في مزود مصادقة تابع لطرف ثالث."

ورغم تأكيد المنصة أن المشكلة تم حلها ولا يوجد خطر مستمر، إلا أن عدد المستخدمين المتضررين والقيمة الإجمالية المسروقة لم يتم الإفصاح عنهما. هذا النقص في المعلومات أثار قلقًا واسعًا في المجتمع حول حجم وخطورة الحادثة الحقيقية.

02 مسار الهجوم: إعادة بناء الحالات النموذجية للمستخدمين

وفقًا لتقارير المستخدمين على وسائل التواصل الاجتماعي، أظهر هذا الحادث الأمني نمطًا واضحًا.

أحد مستخدمي Reddit وصف تجربته قائلاً: "استيقظت هذا الصباح على ثلاث إشعارات بمحاولات تسجيل دخول إلى بوليماركت—جهازي لم يتعرض للاختراق، ولم تكتشف Google أي نشاط مشبوه، وجميع خدماتي الأخرى طبيعية."

لكن عند تسجيل الدخول إلى بوليماركت، وجد أن جميع تداولاته أُغلقت، ورصيد حسابه أصبح فقط 0.01 دولار. ما يعني أن محفظته استُنزفت تقريبًا بالكامل.

مستخدم آخر أبلغ عن تجربة مماثلة. فعلى الرغم من أنه لم ينقر على أي روابط مشبوهة وفعّل المصادقة الثنائية على بريده الإلكتروني، إلا أنه لم يستطع منع المهاجمين من إفراغ حسابه بعد تلقي ثلاث إشعارات بمحاولات تسجيل دخول.

03 المستخدمون المتضررون: استهداف مسجلي Magic Labs

يشترك ضحايا هذا الحادث الأمني في سمة واحدة: معظمهم سجلوا حساباتهم في بوليماركت عبر Magic Labs.

تُعد Magic Labs خدمة تسجيل دخول خارجية مصممة للمبتدئين في عالم العملات الرقمية. تتيح للمستخدمين تسجيل الدخول عبر البريد الإلكتروني فقط، ويقوم النظام تلقائيًا بإنشاء محفظة إيثيريوم غير احتجازية في الخلفية. وبينما يسهل هذا التصميم دخول المستخدمين الجدد إلى السوق، إلا أنه يفتح الباب أمام طرق هجوم جديدة.

يبدو أن المهاجمين تمكنوا من تجاوز المصادقة متعددة العوامل، دون الاعتماد على أساليب التصيد التقليدية أو البرمجيات الخبيثة لاختراق أجهزة المستخدمين. وقد أدى ذلك إلى إثارة مخاوف جدية بشأن تحول خدمات المصادقة الخارجية إلى نقاط ضعف مركزية.

04 استجابة المنصة: غياب الوضوح يثير المزيد من الشكوك

أظهرت استجابة بوليماركت للحادثة ميلاً واضحًا لحجب المعلومات، ما أدى إلى طرح المزيد من التساؤلات بدلًا من الإجابات.

أولًا، اكتفت المنصة بالإشارة إلى أن "عددًا صغيرًا من المستخدمين" تأثروا، دون تقديم أرقام أو نسب محددة. ثانيًا، لم تفصح عن إجمالي المبالغ المسروقة، مما جعل من الصعب على المجتمع تقييم خطورة الحدث. ثالثًا، لم تذكر بوليماركت اسم مزود الطرف الثالث بشكل صريح، رغم أن المجتمع يشتبه على نطاق واسع في Magic Labs.

أما من الناحية التقنية، فقد أكدت بوليماركت أن المشكلة "تم حلها"، لكنها لم توضح ماهية الإصلاحات التي تم تطبيقها.

وأشار بعض أعضاء المجتمع إلى أن بوليماركت، بعد الحادثة، قامت على ما يبدو بزيادة طول كلمة المرور لمرة واحدة من ثلاثة إلى ستة أرقام، إلا أن الشركة لم تعلق رسميًا على هذا التغيير.

05 دروس أمنية: مخاطر منهجية لتكاملات الطرف الثالث

هذه ليست المرة الأولى التي تواجه فيها بوليماركت حادثة أمنية بسبب خدمات خارجية. ففي سبتمبر 2024، أبلغ عدة مستخدمين سجلوا الدخول عبر حسابات Google عن تحويل أموالهم من USDC إلى عناوين تصيد احتيالي.

وفي الشهر الماضي، أدى هجوم تصيد عبر قسم التعليقات في المنصة إلى خسائر تجاوزت 500,000 دولار. وتسلط هذه الحوادث الضوء على تحدٍ مشترك لمنصات العملات الرقمية: حتى لو كانت العقود الذكية الأساسية آمنة، فإن الاعتماد على خدمات الطرف الثالث قد يخلق ثغرات أمنية.

ويشير محللو القطاع إلى أنه عندما يعتمد المستخدمون على بنى مصادقة موحدة لا تخضع مباشرة لسيطرة المنصة الأساسية، تصبح الأنظمة المدمجة عرضة بشكل خاص للهجمات.

06 إجراءات المستخدمين: نصائح عملية لحماية الأصول

بالنسبة لمستخدمي العملات الرقمية، يقدم حادث بوليماركت دروسًا أمنية مهمة.

النصيحة الأكثر مباشرة هي تجنب استخدام خيارات تسجيل الدخول عبر الطرف الثالث، وبدلًا من ذلك، الربط مع المنصات باستخدام محافظ تتحكم أنت بمفاتيحها الخاصة. ورغم أن ذلك يزيد من صعوبة الدخول، إلا أنه يبقى الخيار الأفضل لحماية الأصول حتى تثبت المنصات قدرتها على دمج خدمات الطرف الثالث بأمان.

ينبغي على المستخدمين مراجعة نشاط الحساب بشكل دوري، وتفعيل جميع ميزات الأمان المتاحة، والبقاء متيقظين لأي محاولات تسجيل دخول غير معتادة. كما يُعد توزيع الأصول على عدة منصات بدلًا من تركيزها في مكان واحد استراتيجية فعالة للحد من المخاطر.

ومع استعداد بوليماركت للانتقال من Polygon وإطلاق شبكتها الخاصة من الطبقة الثانية لإيثيريوم، ينبغي على المستخدمين إيلاء اهتمام إضافي لأمن الأصول خلال فترة الانتقال.

نظرة مستقبلية

حتى 25 ديسمبر، بلغ إجمالي حجم التداول في بوليماركت 1.538 مليار دولار، مع 419,309 مستخدم نشط شهريًا. وعندما يستيقظ المستخدمون ليجدوا أن رصيدهم لا يتجاوز 0.01 دولار، فإن الحادثة لم تعد مجرد خلل تقني بسيط، بل أصبحت اختبارًا حقيقيًا لهندسة الأمان في منظومة العملات الرقمية بأكملها.

تظل حماية أموال المستخدمين حجر الأساس في عمليات منصة Gate. ومع مواجهة قطاع العملات الرقمية لتحديات أمنية متزايدة التعقيد، تواصل Gate تعزيز بنيتها الأمنية وتوفير طبقات متعددة من الحماية لأصول المستخدمين.

The content herein does not constitute any offer, solicitation, or recommendation. You should always seek independent professional advice before making any investment decisions. Please note that Gate may restrict or prohibit the use of all or a portion of the Services from Restricted Locations. For more information, please read the User Agreement

أَعجِب المحتوى