أكدت Polymarket وقوع استغلال لثغرة في نظام التحقق من طرف ثالث، مما أدى إلى سرقة أموال المستخدمين وأثار مخاوف بشأن المخاطر المحتملة

الصورة: https://x.com/TheBlock__/status/2003739551865475076

Polymarket تؤكد تعرضها لهجوم ناتج عن ثغرة في التحقق من الهوية عبر طرف ثالث وسرقة أموال المستخدمين

في أواخر ديسمبر 2025، أعلنت Polymarket، منصة سوق التنبؤات المشفرة، رسمياً عن وقوع حادث أمني مرتبط بخدمة تحقق الهوية من طرف ثالث، ما أدى إلى سرقة بعض أصول المستخدمين. وأكدت المنصة أن مصدر الاختراق لم يكن من بروتوكول Polymarket الأساسي أو عقودها الذكية، بل استغل المهاجمون ثغرات في خدمة التحقق من الهوية الخارجية، وتمكنوا من السيطرة على حسابات المستخدمين المتضررين وتحويل الأموال.

الخلفية والبيان الرسمي

بحسب بيان Polymarket الرسمي، وقع الاختراق أثناء تسجيل دخول المستخدمين، وأثر بشكل رئيسي على الحسابات المسجلة أو التي تم الوصول إليها عبر خدمات تحقق الهوية من طرف ثالث، مثل تسجيل الدخول السريع عبر البريد الإلكتروني. وأبلغ عدد من المستخدمين أنه، بالرغم من تفعيل المصادقة الثنائية (2FA)، تم تصفير أرصدة حساباتهم خلال دقائق.

أكدت Polymarket لاحقاً إصلاح الثغرة، وأعلنت عدم وجود أي مؤشرات على استمرار خطر الهجوم. وصرحت بأن آليات السوق الأساسية والعقود الذكية وأنظمة التسوية لم تتأثر؛ إذ أن الخرق كان نتيجة خلل أمني في عملية تحقق الهوية الخارجية.

آلية الهجوم والثغرة المحتملة

تشير تحليلات الصناعة والمعلومات المتاحة إلى أن الهجوم لم يكن تصيداً احتيالياً تقليدياً أو نتيجة إفشاء المستخدمين لمفاتيحهم الخاصة، بل استغل المهاجمون نقاط ضعف في عملية التحقق من الهوية عبر طرف ثالث، متجاوزين إجراءات التحقق المعتادة للسيطرة على المحافظ المرتبطة بحسابات المستخدمين، رغم عدم نقر المستخدمين على روابط خبيثة أو كشف بيانات البريد الإلكتروني.

بعد السيطرة على الحسابات، قام المهاجمون بنقل الأصول بسرعة إلى عناوين خارجية، مستخدمين تقسيم المعاملات وتمويه السلسلة لإخفاء تدفق الأموال والتسبب بخسائر فعلية.

لم تكشف Polymarket حتى الآن عن التفاصيل التقنية للثغرة أو اسم مزود الخدمة الطرف الثالث المعني. ومع ذلك، يرى خبراء الصناعة أن حلول التحقق من الهوية التي تعتمد على إدارة المفاتيح أو تفويض الحسابات لطرف ثالث قد تخلق مخاطر نظامية إذا تعرضت تلك المكونات للاختراق.

تجارب المستخدمين وردود فعل المجتمع

عقب الحادثة، شارك المستخدمون تجاربهم عبر منصات المجتمع ووسائل التواصل الاجتماعي. أفاد أحد المستخدمين بأنه عاد لتسجيل الدخول إلى Polymarket بعد تلقيه تنبيهاً غير طبيعي حول الدخول، ليجد أن رصيده قد تقلص بشكل شبه كامل. وذكر مستخدم آخر أنه لم يقم بأي إجراءات خطرة، واستخدم فقط تسجيل الدخول عبر البريد الإلكتروني مع تفعيل المصادقة الثنائية، ومع ذلك تم تحويل أصوله خلال فترة قصيرة.

أثارت هذه الحالات نقاشاً مجتمعياً واسعاً، حيث بدأ العديد من المستخدمين في إعادة النظر في التوازن بين "سهولة تسجيل الدخول" و"أمان الأصول" على منصات Web3. واعتبر بعضهم أن الحادثة كشفت كيف أن تحسين تجربة المستخدم في التطبيقات اللامركزية قد يؤدي إلى كشف ثغرات أمنية غير متوقعة.

استجابة Polymarket والوضع الحالي

بعد تأكيد الاختراق، أعلنت Polymarket أنها سارعت إلى إصلاح الثغرة وتواصلت مع المستخدمين المتضررين بشكل استباقي. وأكدت المنصة أنه لم يتم رصد أي نشاط مشبوه جديد وأن النظام لا يزال آمناً.

أكد البيان الرسمي أيضاً أن العقود الذكية الأساسية ومنطق السوق لم يتأثر. وبالتالي، لم يتعرض المستخدمون الذين يستخدمون محافظ الحفظ الذاتي أو يسجلون الدخول دون تحقق من طرف ثالث لهذا النوع من الهجمات.

حتى الآن، لم تعلن Polymarket عن العدد الدقيق للمستخدمين المتضررين أو حجم الخسائر المالية الإجمالي.

منظور الصناعة: لماذا تحقق الهوية عبر طرف ثالث عامل عالي المخاطر

من منظور الصناعة العام، يبرز هذا الحدث المخاطر الهيكلية التي تواجهها منصات Web3 عند الاعتماد على خدمات تحقق الهوية من طرف ثالث. فسهولة تسجيل الدخول عبر البريد الإلكتروني وتفويض الحسابات الاجتماعية تقلل من حاجز الدخول لكنها تفتح نقاط هجوم جديدة.

في Web2، واجهت أنظمة OAuth وتسجيل الدخول الاجتماعي تحديات أمنية مستمرة. أما في Web3، غالباً ما ترتبط عمليات التحقق هذه مباشرة بإنشاء المحافظ وإدارة المفاتيح أو تفويض المعاملات. وأي ثغرة قد تؤدي إلى خسائر مباشرة في الأصول وليس مجرد اختراق بيانات.

دروس أمنية وتوصيات لحماية المستخدمين

تكشف حادثة Polymarket عن عدة دروس أمنية مهمة لحاملي الأصول الرقمية:

• استخدم خدمات تحقق الهوية من طرف ثالث بحذر. ويفضل الاعتماد على محافظ الحفظ الذاتي وحلول إدارة المفاتيح المستقلة.
• طبّق حماية متعددة الطبقات، مثل المحافظ المادية والمصادقات المستقلة.
• بالنسبة للمنصات التي تستخدمها بشكل غير متكرر، انقل الأصول بسرعة إلى عناوين تحت سيطرتك الشخصية.
• تابع تحديثات المشاريع الرسمية والتنبيهات الأمنية وردود فعل المجتمع لتتمكن من الاستجابة بسرعة لأي مخاطر محتملة.

الخلاصة

في المحصلة، لم يمس حادث Polymarket الأمني سلامة بروتوكولها الأساسي، لكنه كشف بوضوح عن المخاطر النظامية المحتملة للتحقق من الهوية عبر طرف ثالث في منظومة Web3. ومع استمرار صناعة العملات الرقمية في السعي لنمو المستخدمين وتحسين تجربة الاستخدام، سيبقى تحقيق التوازن بين سهولة الوصول وأمان الأصول تحدياً مستمراً أمام جميع المنصات.