حساب بوليماركيت ينهار مخاطر تسجيل الدخول من طرف ثالث

المصدر: CryptoTale العنوان الأصلي: حساب Polymarket يستهلك الضوء على مخاطر تسجيل الدخول من طرف ثالث الرابط الأصلي: https://cryptotale.org/polymarket-account-drains-spotlight-third-party-login-risk/

• تم تتبع اختراق حساب مستخدم Polymarket إلى مصادقة طرف ثالث، وليس عيوب في البروتوكول.
• تمكين عملية انضمام المحافظ عبر البريد الإلكتروني من استنزاف الحسابات بدون استغلال العقود الذكية.
• يسلط الحادث الضوء على مخاطر نظامية في Web3 مع تحول خدمات تسجيل الدخول من طرف ثالث إلى نقاط فشل.

قالت Polymarket إن المهاجمين استنزفوا عددًا محدودًا من حسابات المستخدمين بعد استغلال خلل في خدمة تسجيل دخول من طرف ثالث. وصف المستخدمون فقدان أرصدة مفاجئ بعد عدة تنبيهات تسجيل دخول وإغلاق مراكز. وأكدت Polymarket وقوع الحادث في 24 ديسمبر 2025، وقالت إنها أصلحت المشكلة.

ظهرت تقارير في 22 و 23 ديسمبر 2025، عبر منصات التواصل الاجتماعي. أبلغ أحد المستخدمين عن ثلاث محاولات تسجيل دخول، تلتها رصيد بقيمة 0.01 دولار. وأبلغ مستخدم آخر عن تنبيهات مماثلة وقال إن المصادقة الثنائية عبر البريد الإلكتروني لم توقف الاستنزاف.

المصادقة من طرف ثالث تجعل عملية الانضمام نقطة ضعف مشتركة

قالت Polymarket إن مزود خدمة المصادقة من طرف ثالث أدخل الثغرة. نشرت الشركة في قناة Discord الرسمية أنها حددت المشكلة وحلّتها. وصفت Polymarket الحادث بأنه أثر على عدد قليل من المستخدمين.

لم تسمِ Polymarket مزود الخدمة من طرف ثالث ولم تكشف عن إجمالي المبالغ المسروقة. ومع ذلك، قالت المنصة إن بروتوكولها الأساسي لا يزال آمنًا، وأن المشكلة بقيت محدودة في المصادقة. وأكدت أن الإصلاح أزال الخطر المستمر، وأنها ستتواصل مع المستخدمين المتأثرين.

يحول هذا الإطار الانتباه بعيدًا عن آليات السوق ويتركز على مكدس انضمام العملات الرقمية. تعتمد العديد من المنصات على خدمات الهوية والمحفظة وتسجيل الدخول الخارجية لتسريع عمليات التسجيل. ونتيجة لذلك، يمكن أن يكشف ضعف في مزود واحد المستخدمين عبر تطبيقات متعددة.

تسجيل الدخول عبر البريد الإلكتروني للمحفظة يثير مخاطر حول الوصول المدمج للمحفظة

اقترحت منشورات المستخدمين أن العديد من الحسابات المتأثرة استخدمت الوصول عبر “رابط سحري” عبر البريد الإلكتروني بدلاً من الاتصالات المباشرة بالمحفظة. وأشار العديد من التقارير إلى Magic Labs كمسار تسجيل شائع، على الرغم من أن Polymarket لم تؤكد ذلك الرابط. وقال المستخدمون أيضًا إنهم لم ينقروا على روابط مشبوهة قبل عمليات الاستنزاف.

غالبًا ما تنشئ مزودات المحافظ عبر البريد الإلكتروني محافظ إيثيريوم غير حاضنة أثناء التسجيل. يجذب هذا الإعداد المستخدمين الجدد للعملات الرقمية الذين لا يديرون الإضافات أو عبارات البذور. ومع ذلك، لا تزال المزود يتحكم في أجزاء رئيسية من عملية تسجيل الدخول والاسترداد.

وصف مستخدمو Polymarket استنزاف أرصدة USDC دون إشارات واضحة للموافقة. كما وصفت التقارير إغلاق المراكز بسرعة بعد الوصول غير المصرح به. ونتيجة لذلك، يسلط الحادث الضوء على كيف يمكن أن يفشل أمان الحساب فوق طبقة العقود الذكية.

حوادث Polymarket السابقة تظهر ضغطًا على طبقة الوصول

يتكرر هذا الاختراق مع تقارير سابقة من سبتمبر 2024 تتعلق بتسجيلات الدخول عبر Google. وصف المستخدمون استنزاف المحافظ حيث استخدم المهاجمون استدعاءات وظيفة “وكيل”. نقلت تلك الاستدعاءات أموال USDC إلى عناوين تصيد، وفقًا لحسابات المستخدمين.

في ذلك الوقت، اعتبرت Polymarket الأحداث كاستغلالات محتملة مستهدفة مرتبطة بالمصادقة من طرف ثالث. وتهم هذه التاريخ لأنه يشير إلى نفس الخطر الهيكلي. يمكن أن تصبح أنظمة المصادقة والجلسات أهدافًا عالية التأثير.

ظهر تهديد منفصل في نوفمبر 2025، عندما استغل المحتالون قسم التعليقات في Polymarket. أبلغ المستخدمون عن خسائر تجاوزت 500,000 دولار بعد أن نشر المهاجمون روابط مخادعة. دفعت تلك الروابط الضحايا إلى صفحات احتيالية استحوذت على تسجيلات الدخول عبر البريد الإلكتروني.

يركز حادث ديسمبر 2025 مرة أخرى على مخاطر التكامل، وليس على إخفاقات التسوية. لم تصدر Polymarket منشورًا فنيًا بعد الحادث أو جدول زمني كامل للحادث. ولم تقل أيضًا ما إذا كانت ستعوض المستخدمين عن الخسائر.

وفي الوقت نفسه، قارن المستخدمون طرق تسجيل الدخول وشاركوا عناوين المحافظ في مواضيع عامة. بعض المستخدمين تحولوا نحو الاتصالات المباشرة بالمحفظة لأرصدة أعلى. يعزز هذا الحدث استنتاجًا أوسع حول انضمام العملات الرقمية: الآن تعتمد أنظمة الهوية والمحافظ من طرف ثالث على المسار الحرج، مما يجعلها نقطة هشاشة في النظام البيئي.