المستقبل المتحرك

تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 transfered@Claire 📅 2026-04-04 19:40:46

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

ملصق:
سياسة
يشارك:
FB X YT IG
transfered@Claire

transfered@Claire

محرر Blockchain والأصول المشفرة، مع التركيز علىسياسةتحليل محتوى المجال والرؤى

تعليق (10)

Sauce
Sauce 1قبل دقائق
La expansión de Blockchain sigue siendo un problema a largo plazo.
eileen
eileen 47قبل دقائق
En la actualidad, muchas aplicaciones utilizan blockchain por el bien de blockchain y existen demasiadas demandas falsas.
Diana
Diana 50قبل دقائق
La actitud del artículo hacia la supervisión es algo ingenua.
óliver
óliver 2منذ ساعات
Esperando más contenidos de alta calidad.
Aria
Aria 3منذ ساعات
De acuerdo, la tecnología y la supervisión competirán durante mucho tiempo.
El
El 15منذ ساعات
De acuerdo, la tecnología cambia el mundo.
Jagger
Jagger 19منذ ساعات
La construcción ecológica de los promotores es la piedra angular, bien se dice.
Rubí
Rubí 5منذ أيام
Los datos históricos continúan ampliándose, ¿quién correrá con los costos operativos de los nodos completos?
morgan
morgan 13منذ أيام
El desarrollo de blockchain es inseparable del poder comunitario.
John
John 29منذ أيام
Un buen punto y digno de discusión.

أضف تعليقا

محتوى ذو صلة

تقرير تشيناليسيس: قراصنة كوريا الشمالية سرقوا ٢ مليار دولار أمريكي من أصول العملات المشفرة في عام ٢٠٢٥، وأصبحت بايبيت الضحية الأكبر

تقرير تشيناليسيس: قراصنة كوريا الشمالية سرقوا ٢ مليار دولار أمريكي من أصول العملات المشفرة في عام ٢٠٢٥، وأصبحت بايبيت الضحية الأكبر

2026-04-04
هيئة الأوراق المالية والعقود الآجلة في هونغ كونغ تحذر: FoFund وFo Coin وTaohuayuan NFT هي

هيئة الأوراق المالية والعقود الآجلة في هونغ كونغ تحذر: FoFund وFo Coin وTaohuayuan NFT هي "منتجات مشبوهة" ويجب على المستثمرين توخي الحذر

2026-04-04
قامت مؤسسة Ethereum بتمويل مؤسس Tornado Cash بمبلغ 1.25 مليون دولار أمريكي للمساعدة في الدفاع عن

قامت مؤسسة Ethereum بتمويل مؤسس Tornado Cash بمبلغ 1.25 مليون دولار أمريكي للمساعدة في الدفاع عن "براءة الكود" في الدعوى القضائية

2026-04-04
اختلس المسؤول التنفيذي للتأمين الصحي في كوريا الجنوبية 4.6 مليار وون من الأموال العامة وخسر كل الأموال من خلال

اختلس المسؤول التنفيذي للتأمين الصحي في كوريا الجنوبية 4.6 مليار وون من الأموال العامة وخسر كل الأموال من خلال "اللعب بعقود العملات المشفرة"! حكم عليه بالسجن 15 عاما

2026-04-04
انضم جيمي سيلواي، المدير التنفيذي السابق لموقع Blockchain.com، إلى هيئة الأوراق المالية والبورصة وسيعمل كمدير للتجارة والأسواق

انضم جيمي سيلواي، المدير التنفيذي السابق لموقع Blockchain.com، إلى هيئة الأوراق المالية والبورصة وسيعمل كمدير للتجارة والأسواق

2026-04-04
حدثت سرقة غريبة في بنك هيكو! اختفت 3.87 مليون يوان نقدًا في غضون دقيقة واحدة بعد وضعها على الأرض. هل يخطط الخلد لارتكاب الجريمة؟

حدثت سرقة غريبة في بنك هيكو! اختفت 3.87 مليون يوان نقدًا في غضون دقيقة واحدة بعد وضعها على الأرض. هل يخطط الخلد لارتكاب الجريمة؟

2026-04-04

محتوى شائع

يشتبه في أن مجمع سيولة Cetus الخاص ببروتوكول SUI الموجود على السلسلة قد تم اختراقه! انخفض زوج التداول بشكل غير طبيعي بأكثر من 70٪

يشتبه في أن مجمع سيولة Cetus الخاص ببروتوكول SUI الموجود على السلسلة قد تم اختراقه! انخفض زوج التداول بشكل غير طبيعي بأكثر من 70٪

2026-04-04
 رجل أمريكي أخفى

رجل أمريكي أخفى "345 مليون دولار بالبيتكوين" مخبأة في القرص الصلب للأدلة! قام مكتب التحقيقات الفيدرالي بتنسيقه مباشرة. تم كسر المفتاح الخاص.

2026-04-04
 مؤسس خلاط تورنادو كاش خرج من السجن! المحكمة تعلق الحبس الاحتياطي لأليكسي بيرتسيف، وقام V God بإعادة تغريد الدعم

مؤسس خلاط تورنادو كاش خرج من السجن! المحكمة تعلق الحبس الاحتياطي لأليكسي بيرتسيف، وقام V God بإعادة تغريد الدعم

2026-04-04
 يصدر رئيس الإنترنت المظلم الروسي

يصدر رئيس الإنترنت المظلم الروسي "موريارتي" سولانا عملة ميمي $MORI، ويدير 3.2 مليون قناة ويطلق على نفسه اسم إمبراطور الجريمة

2026-04-04
 هل يجب فرض ضريبة على مكافآت التوقيع المساحي لـ PoS على الفور؟ أصبح استياء الزوجين الأمريكيين من رفع دعوى قضائية لدى مصلحة الضرائب الأمريكية هو محور المناقشة

هل يجب فرض ضريبة على مكافآت التوقيع المساحي لـ PoS على الفور؟ أصبح استياء الزوجين الأمريكيين من رفع دعوى قضائية لدى مصلحة الضرائب الأمريكية هو محور المناقشة

2026-04-04
 هل يعتبر روبوت Ethereum MEV بمثابة غسيل أموال؟ المحكمة الأمريكية تستمع إلى قضية الإخوة في معهد ماساتشوستس للتكنولوجيا لأول مرة، 25 مليون ملغ من موازنة الشطائر تنطوي على احتيال

هل يعتبر روبوت Ethereum MEV بمثابة غسيل أموال؟ المحكمة الأمريكية تستمع إلى قضية الإخوة في معهد ماساتشوستس للتكنولوجيا لأول مرة، 25 مليون ملغ من موازنة الشطائر تنطوي على احتيال

2026-04-04

الأقسام ذات الصلة

سوق تحليل تكنولوجيا سياسة

محتوى شائع

Comprar energía Tron servicio de energía tron Arrendamiento e intercambio de energía TRX Integración de la plataforma energética energía tron Agencia del Pool de Energía Robot de intercambio TRX Fuente de energía energía de transacción tron Arrendamiento de energía TRX alquiler de energía trx Fondo de energía de fuente directa Intercambio de energía TRX Alquiler de energía TRX servicio de energía trx Cooperación de la Agencia de Energía Arrendamiento de ancho de banda TRON Integración del pool de energía comprar energía trx Intercambio de flash TRX