تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 02mp@Claire 📅 2026-07-18 07:10:13

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

Etiqueta:
compartir:
FB X YT IG
02mp@Claire

02mp@Claire

Editor de blockchain y criptoactivos, enfocado enpolíticaAnálisis e información del contenido del dominio

Comentario (10)

马格努斯 11hace dias
如何辨别一个区块链项目是不是骗局?
奥利维亚 11hace dias
传统企业如何拥抱区块链,给出了思路。
阿克塞尔 11hace dias
什么是“汽油战”(Gas War)?
海伦 12hace dias
文章内容不错,支持分享。
弗朗西斯 12hace dias
目前行业仍处于早期阶段。
梅根 12hace dias
太多项目在重复造轮子,资源浪费严重。
孩子们 18hace dias
希望更多人看到这样的理性分析。
乌利亚 20hace dias
区块链的信任机制确实改变了传统模式。
马修 25hace dias
观点清晰,分析到位。
罗里 41hace dias
目前行业发展节奏加快。

Añadir comentario

Contenido popular