- تم تتبع اختراق حساب مستخدم Polymarket إلى المصادقة عبر طرف ثالث، وليس إلى عيوب في البروتوكول.
- إعداد المحفظة عبر البريد الإلكتروني مكّن من سحب الحسابات دون استغلال العقود الذكية.
- الحادثة تبرز خطرًا منهجيًا في Web3 مع تحول خدمات تسجيل الدخول عبر طرف ثالث إلى نقاط فشل.
ذكرت Polymarket أن المهاجمين قاموا بسحب أرصدة عدد محدود من حسابات المستخدمين بعد استغلال ثغرة في خدمة تسجيل الدخول عبر طرف ثالث. وصف المستخدمون خسائر مفاجئة في الأرصدة وإغلاق مراكزهم بعد عدة محاولات تسجيل دخول. أكدت Polymarket الحادثة في 24 ديسمبر 2025، وقالت إنها أصلحت المشكلة.
ظهرت تقارير في 22 و23 ديسمبر 2025 على X وReddit وDiscord. أبلغ أحد مستخدمي Reddit عن ثلاث محاولات تسجيل دخول، تلاها رصيد بقيمة 0.01 دولار. وأبلغ مستخدم آخر عن محاولات مماثلة وقال إن المصادقة الثنائية عبر البريد الإلكتروني لم تمنع السحب.
المصادقة عبر طرف ثالث تجعل عملية الإعداد نقطة ضعف مشتركة
قالت Polymarket إن مزود مصادقة عبر طرف ثالث هو من أدخل الثغرة الأمنية. ونشرت الشركة في قناتها الرسمية على Discord أنها حددت المشكلة وقامت بحلها. وصفت Polymarket الحادثة بأنها أثرت على عدد صغير من المستخدمين.
لم تذكر Polymarket اسم مزود الطرف الثالث ولم تكشف عن إجمالي المبالغ المسروقة. ومع ذلك، قالت المنصة إن بروتوكولها الأساسي protocol ظل آمنًا، وأن المشكلة اقتصرت على المصادقة فقط. كما ذكرت أن الإصلاح أزال الخطر المستمر، وأنها ستتواصل مع المستخدمين المتضررين.
هذا التوجه يحول الانتباه بعيدًا عن آليات السوق ويركز على بنية الإعداد في عالم العملات الرقمية. تعتمد العديد من المنصات على خدمات هوية ومحافظ وتسجيل دخول خارجية لتسريع عمليات التسجيل. ونتيجة لذلك، يمكن أن يؤدي ضعف في أحد المزودين إلى تعريض المستخدمين للخطر عبر عدة تطبيقات.
تسجيل الدخول عبر البريد الإلكتروني يرفع المخاطر حول الوصول إلى المحافظ المدمجة
أشارت منشورات المستخدمين إلى أن العديد من الحسابات المتأثرة استخدمت وصول "رابط سحري" عبر البريد الإلكتروني بدلاً من الاتصال المباشر بالمحفظة. وأشارت عدة تقارير إلى Magic Labs كطريقة تسجيل شائعة، رغم أن Polymarket لم تؤكد هذا الرابط. كما قال المستخدمون إنهم لم ينقروا على روابط مشبوهة قبل حدوث السحب.
غالبًا ما يقوم مزودو المحافظ عبر البريد الإلكتروني بإنشاء محافظ Ethereum غير وصائية أثناء التسجيل. هذا الإعداد يجذب مستخدمي crypto الجدد الذين لا يديرون الإضافات أو عبارات الاسترداد. ومع ذلك، لا يزال المزود يتحكم في أجزاء رئيسية من عملية تسجيل الدخول والاسترداد.
وصف مستخدمو Polymarket سحب أرصدة USDC دون إشارات موافقة واضحة. كما وصفت التقارير إغلاق المراكز بسرعة بعد الوصول غير المصرح به. ونتيجة لذلك، يبرز الحادث كيف يمكن أن تفشل أمان الحسابات فوق طبقة العقد الذكي.
ذو صلة: Polymarket تتصدر بروتوكولات العملات الرقمية في معدل احتفاظ المستخدمين
حوادث Polymarket السابقة تظهر الضغط على طبقة الوصول
يتردد صدى هذا الاختراق مع تقارير المستخدمين السابقة من سبتمبر 2024 المتعلقة بتسجيل الدخول عبر Google. وصف المستخدمون سحب أرصدة المحافظ حيث استخدم المهاجمون استدعاءات دالة "proxy". ووفقًا لروايات المستخدمين، نقلت تلك الاستدعاءات أموال USDC إلى عناوين تصيد احتيالي.
في ذلك الوقت، اعتبرت Polymarket الأحداث استغلالات مستهدفة محتملة مرتبطة بالمصادقة عبر طرف ثالث. وتكتسب هذه السجلات أهمية لأنها تشير إلى نفس الخطر البنيوي. يمكن أن تصبح أنظمة المصادقة والجلسات أهدافًا عالية التأثير.
ظهر تهديد منفصل في نوفمبر 2025، عندما استغل المحتالون أقسام التعليقات في Polymarket. أبلغ المستخدمون عن خسائر تجاوزت 500,000 دولار بعد أن نشر المهاجمون روابط متخفية. دفعت تلك الروابط الضحايا إلى صفحات احتيالية استولت على تسجيلات الدخول عبر البريد الإلكتروني.
تركز حادثة ديسمبر 2025 مرة أخرى على مخاطر التكامل، وليس على فشل التسوية. لم تصدر Polymarket تقريرًا فنيًا بعد الحادثة أو جدولًا زمنيًا كاملاً للحادثة. كما لم تذكر ما إذا كانت ستعوض المستخدمين عن الخسائر.
في هذه الأثناء، قارن المستخدمون طرق تسجيل الدخول وشاركوا عناوين محافظهم في سلاسل عامة. انتقل بعض المستخدمين إلى الاتصال المباشر بالمحفظة للأرصدة الأعلى. تعزز هذه الحادثة استنتاجًا أوسع لعملية الإعداد في العملات الرقمية: أصبحت هويات ومحافظ الطرف الثالث الآن في المسار الحرج، وبالتالي يمكن أن تصبح النقطة الأكثر هشاشة في النظام البيئي.
