اعترفت بوليماركت بأن أموال المستخدمين سرقت، وأصبحت خدمات "تسجيل الدخول بنقرة واحدة" من طرف ثالث ثغرة

Polymarket في ليلة عيد الميلاد تكشف عن سرقة أموال، والخلل ناتج عن خدمة المحفظة الطرف الثالث Magic Labs، مما يسلط الضوء على مخاطر نقطة واحدة وراء سهولة Web3.
（مقدمة سابقة: هل انتهى دور Polymarket الرائد في سوق التوقعات بعد إعلان بناء L2 خاص به، Polygon؟）
（إضافة خلفية: كيف يمكن تحقيق عائد سنوي بنسبة 40% من خلال استغلال Polymarket؟ ）

تداول العملات الرقمية الرائد في سوق التوقعات Polymarket يتعرض لسرقة أموال، حيث قام العديد من المستخدمين في 24 ديسمبر فجرًا بنشر غضبهم على X و Reddit حول “إفراغ رصيد الحساب”.

على الفور، اعترف المنصة في Discord الرسمي بوجود ثغرة أمنية، وأشار إلى “مزود خدمة طرف ثالث”. ثم قامت أداة تتبع السلسلة Lookonchain بتحديد مزود خدمة المحافظ Magic Labs، مما يجعل هذا الحدث أحد أكثر الثغرات الأمنية التي تثير اهتمام سوق العملات الرقمية في نهاية عام 2025.

ذكرت الشركة أن الثغرة قد تم إصلاحها، لكن لا زال هناك من يقلق

بعد أقل من ساعة من بلاغ المستخدمين، أصدرت Polymarket إعلانًا:

اكتشفنا ثغرة مرتبطة بمزود خدمة طرف ثالث، وقد تم إصلاحها الآن. المستخدمون المتأثرون هم قلة قليلة، وسنتواصل معهم بشكل مباشر.

لم تكشف الإعلان عن مبلغ الخسائر وعدد الضحايا، لكنه أثار حالة من الذعر الأكبر. وفقًا لمتوسط حجم المعاملات الشهري على منصة Polymarket في 2025، والذي يُقدر بمليارات الدولارات شهريًا، فإن “القلة” قد تكون خسائرها كبيرة.

على عكس هجمات التصيد الشائعة، لم يتم تداول روابط مشبوهة عند وقوع الحادث، بل إن العديد من الضحايا كانوا قد فعّلوا التحقق بخطوتين عبر البريد الإلكتروني. المفتاح الذي تم تجاوزه هو ليس من جانب المستخدم، بل من خلال التوثيق الطرف الثالث في الخلفية.

ثغرة نظام تسجيل الدخول في Magic Labs

لتقليل العوائق، أدخلت Polymarket ميزة “توليد محفظة غير موثوقة بنقرة واحدة عبر البريد الإلكتروني” من Magic Labs. لا يحتاج المستخدمون إلى حفظ عبارة الاسترداد، ويمكنهم إرسال رمز التحقق لإدارة أصول إيثريوم. لكن المهاجمين استغلوا ثغرة في نظام التوثيق الخاص بـ Magic Labs للحصول على السيطرة على المحافظ، مما جعل التحقق بخطوتين غير فعال.

تشير تدفقات الأموال على السلسلة إلى أن القراصنة قاموا خلال فترة قصيرة بتقسيم الأصول عبر عمليات دمج متعددة، مما يزيد من صعوبة التتبع. على الرغم من أن الشركة ذكرت أن “الثغرة قد أُصلحت”، إلا أنها لم ترد بعد على طلبات المجتمع لتقرير كامل عن الحادث.

وفي الوقت نفسه، حذرت شركة الأمان SlowMist من ظهور روبوتات تكرار Polymarket خبيثة على GitHub، تستهدف اللاعبين المتقدمين الذين يستخدمون سكريبتات تداول مخصصة. هذا البرنامج يقرأ ملفات التكوين المحلية ويقوم بسرًا بإرسال المفاتيح الخاصة، على الرغم من عدم ارتباطه مباشرة بثغرة Magic Labs، إلا أنه ظهر في نفس اليوم.