اختراق Polymarket يُحوّل 3 ملايين دولار إلى محفظة إيثريوم (ETH) واحدة

أخبار العملات الرقمية

تعرّضت منصة أسواق التنبؤ Polymarket لخسارة نحو 3 ملايين دولار من أموال المستخدمين يوم الخميس، بعد أن اخترق مهاجمون مورّدًا خارجيًا وحقنوا شيفرة خبيثة في واجهتها الأمامية، لتُحوَّل الحصيلة لاحقًا إلى إيثريوم (ETH) في محفظة واحدة. وتشير قراءتنا للحادثة إلى أن الخلل جاء من جانب سلسلة التوريد لا من عقود Polymarket الذكية نفسها؛ فالموقع المُعدَّل أعاد توجيه الموافقات بصمت، ما مكّن المهاجمين من تفريغ المحافظ قبل أن ينتبه المستخدمون. وكان محلل بارز على السلسلة أول من رصد السرقة، مقدِّرًا أن ما يصل إلى 2.94 مليون دولار جرى سحبه من مجموعة من الحسابات. وتكشف الواقعة كيف تظل تبعيات الواجهة الأمامية — البنية خارج السلسلة التي تُشغّل التطبيق اللامركزي — هدفًا هشًّا حتى عندما تصمد العقود الذكية الأساسية. وتقول Polymarket إن الثغرة أُغلقت الآن.

أكدت Polymarket الاختراق في بيان رسمي، وتعهّدت بتعويض كل عميل متضرر بالكامل. وذكرت الشركة أن الشيفرة الخبيثة في الواجهة الأمامية جرى احتواؤها وإزالتها، وأن المورّد المخترَق — الذي امتنعت عن ذكر اسمه علنًا — كان نقطة الدخول. وحتى آخر إفصاح، لم يصدر أي رقم عن حجم المبلغ المسروق القابل للاسترداد مقابل ما سيُسدَّد من أموال الشركة. والتزام التعويض يميّز هذه الواقعة عن خسارة الحفظ الذاتي المعتادة: فبقبولها المسؤولية عن إخفاق طرف ثالث، تتحمل Polymarket كلفة كانت معظم المنصات غير الحافظة ستحمّلها بالكامل للمستخدم النهائي.

يمثّل الاختراق ثاني حادث أمني لـPolymarket خلال شهرين، وينسجم مع نمط متكرر من هجمات الهندسة الاجتماعية لا ثغرات البروتوكول. فعلى مدى العام الماضي، خدع المهاجمون المستخدمين مرارًا لتسليم بياناتهم على مواقع مستنسخة، ثم أفرغوا المحافظ في دقائق. وفي وقت سابق من هذا الشهر، خسر متداول واحد أكثر من مليوني دولار بعد إدخاله كلمة مرور لمرة واحدة (OTP) على نسخة مزيفة من Polymarket، ما سمح لمهاجم باختطاف محفظة الدخول المرتبطة ببريد الضحية وسحب الأموال فورًا. وشدّد فريق الهندسة آنذاك على أن الخسارة وقعت على نطاق احتيالي لا عبر خلل في بنية Polymarket الإنتاجية — وهو تمييز يعقّده اختراق المورّد هذا الأسبوع.

توضّح بيانات السلسلة (on-chain) كيف تحركت الأموال. فقد فرّغ المهاجمون محافظ تحمل pUSD — العملة المستقرة المرتبطة بالدولار من Polymarket، المضمونة بـUSDC والمستخدمة في تسوية كل صفقة على المنصة — ثم بدّلوا الحصيلة إلى إيثريوم (ETH). وجُمعت الأموال المحوَّلة في عنوان إيثريوم واحد، حيث تظل مودعة حتى لحظة كتابة هذه السطور. وخلص محققو البلوكشين إلى أن الضرر بقي محدودًا إلى حد كبير، مع تأثر أقل من 15 حسابًا، وإن كان هذا العدد قد يرتفع مع تتبّع المزيد من المعاملات. وتركيز القيمة المسروقة في محفظة واحدة على السلسلة يبقي الأثر مرئيًا لشركات الطب الشرعي لكنه يعقّد أي تجميد.

وتضخّم التكهنات بشأن إيردروب محتمل لرمز POLY خطرَ التصيّد على مستخدمي المنصة. ففي 25 يونيو، لاحظ مراقبون أن Polymarket عدّلت بهدوء قسم الأسئلة الشائعة لديها، فحذفت صياغة سابقة تقول إنها لا تملك رمزًا وأزالت إشارات إلى عدم وجود خطط لتوزيع مجاني. وكان مسؤول تسويق في الشركة قد لمّح إلى طموحات الرمز في مقابلة بأكتوبر 2025، واصفًا هدفًا يتمثل في أصل ذي منفعة واستدامة طويلة الأجل. وقد دفع هذا التوقع المتداولين إلى تعديل استراتيجياتهم أملًا في التأهل، ما يمنح المحتالين غطاءً جديدًا: أدوات فحص أهلية مزيفة وصفحات مطالبة مزوّرة تصبح طُعمًا سهلًا حين يبدو توزيع عملة بديلة وشيكًا.

وليست هذه المرة الأولى التي تُضرب فيها بنية مرتبطة بـPolymarket. ففي مايو، تعرّض مكوّن UMA CTF Adapter الخاص بالمنصة على شبكة Polygon للاختراق، ونسب المحققون ذلك الاختراق إلى مفتاح نشر مسروق لا إلى خلل في العقد. ومجتمعةً، تُظهر واقعة مفتاح النشر، وسرقة OTP عبر الموقع المستنسخ، واختراق المورّد هذا الأسبوع، ثلاث نقاط دخول مختلفة استُغلّت بالنتيجة ذاتها: سحب الأموال قبل اكتشافها. والخيط المشترك هو الأمن التشغيلي والبشري — إدارة المفاتيح، وتدقيق المورّدين، ومصادقة المستخدم — لا سلامة الأسواق على السلسلة نفسها، التي لم تكن نقطة الإخفاق في أيٍّ من الحالات الثلاث الموثقة.

وقراءتنا أن مجموعة Polymarket تكشف أكثر مخاطر الصناعة بخسًا في التسعير: سطح الهجوم خارج السلسلة المحيط بعقود سليمة في جوهرها. ووفقًا لبيانات السوق الإجمالية لدى COINOTAG، فإن المعنويات هشّة أصلًا — إذ يقبع مؤشر الخوف والطمع عند 13 من 100، في عمق منطقة الخوف الشديد، بينما صعدت هيمنة البيتكوين إلى 70.2% وتبقى القيمة السوقية الإجمالية للعملات الرقمية قرب 1.7 تريليون دولار، ما يشير إلى دوران رأس المال نحو ما يُعدّ ملاذًا أكثر أمانًا. والاختراقات المتكررة للواجهات والمورّدين تقوّض تحديدًا الثقة التي تعتمد عليها أسواق التنبؤ وقضبان العملات المستقرة. وتجميع pUSD المسروقة المحوَّلة إلى ETH في عنوان واحد قابل للتتبّع يمنح المحققين خيطًا، لكن الاسترداد يظل غير مؤكد.