٢٤ ديسمبر ٢٠٢٥ – Polymarket، منصة سوق توقعات لا مركزية، أكّدت أن ثغرة أمنية في مزوّد مصادقة طرف ثالث أدت إلى وصول غير مصرح به ونقل أموال من حسابات المستخدمين. الهجوم أثر بشكل رئيسي على المستخدمين الذين سجّلوا عبر Magic Labs، وهي خدمة توفر إنشاء محفظة عبر البريد الإلكتروني بنقرة واحدة لحسابات Ethereum.
أبلغ عدد من المستخدمين عن استنزاف مفاجئ للأرصدة رغم تفعيل المصادقة الثنائية على حساباتهم البريدية. أظهر تحليل المعاملات على البلوكشين أن المهاجمين استغلوا ثغرة المصادقة لتجاوز ضوابط تسجيل الدخول، ونفّذوا استدعاءات لعقود ذكية حركت الإيثر و توكنات ERC-20 إلى عناوين يسيطر عليها المهاجمون.
حدّدت فرق الهندسة في Polymarket السبب الجذري في طبقة التكامل مع Magic Labs ونشرت تصحيحاً في 23 ديسمبر. وفي إعلان رسمي عبر Discord، ذكرت الشركة أن الثغرة باتت محتواة وأنه لم تُكتشف حوادث أخرى. لم تكشف Polymarket عن العدد الإجمالي للحسابات المتأثرة أو حجم الأصول المصابة لكنها أكّدت أن بروتوكول التداول الأساسي وعقودها الذكية لا تزال آمنة.
تخطط المنصة للانتقال إلى شبكتها الخاصة من Ethereum Layer 2، POLY، وإيقاف خدمة تسجيل الدخول من الطرف الثالث لإزالة تبعيات مشابهة. سيتلقى المستخدمون المتأثرون تواصلاً مباشراً يوضح خيارات الاسترداد، على الرغم من أن Polymarket لم تلتزم بالتعويض عن الخسائر.
يُبرز خبراء الصناعة أن الحادثة تشكل درساً تحذيرياً من مخاطر الاعتماد على آليات المصادقة الخارجية. ومع اعتماد مشاريع Web3 بشكل متزايد على أطر تطوير البرمجيات الخارجية لتسجيل المستخدمين، فإن عمليات التدقيق الأمني الدقيقة والضوابط الاحتياطية ضرورية لمنع الثغرات النظامية.
– CryptoReporter.
التعليقات (0)