سحابة سلسلة الابتكار

تعترف شركة Polymarket بسرقة أموال المستخدمين، وأصبحت خدمات الطرف الثالث "تسجيل الدخول بنقرة واحدة" بمثابة ثغرة أمنية

👤 energys@Claire 📅 2026-02-09 16:29:16

أفادت شركة Polymarket أن الأموال سُرقت عشية عيد الميلاد. نشأت الثغرة الأمنية من خدمة المحفظة التابعة لجهة خارجية Magic Labs، مما يسلط الضوء على نقطة الخطر الوحيدة وراء سهولة Web3.
(إحاطة أولية: أعلنت شركة Polymarket، الشركة الرائدة في سوق التنبؤ، أنها ستبني لغة L2 الخاصة بها. هل اختفت ورقة Polygon الرابحة؟ )
(ملحق الخلفية: كيفية تحقيق دخل سنوي بنسبة 40٪ من خلال Polymarket Arbitrage؟)

أفادت شركة Polymarket، الشركة الرائدة في سوق التنبؤ بالعملات المشفرة، أن الأموال سُرقت، وكان العديد من المستخدمين غاضبين من X وReddit في في الصباح الباكر من يوم 24 ديسمبر "تم إفراغ رصيد الحساب".

اعترفت المنصة على الفور بالثغرة الأمنية في Discord الرسمي وأحالتها إلى "مزود خدمة خارجي". استهدفت أداة التتبع على السلسلة Lookonchain لاحقًا مزود خدمة المحفظة Magic Labs، مما جعل هذا الحادث الاختراق الأمني الأكثر شهرة في سوق العملات المشفرة في أواخر عام 2025.

قال رسميًا إنه تم إصلاحه، لكن بعض الناس لا يزالون قلقين

بعد أقل من ساعة من نشر المستخدم للأخبار، أصدرت Polymarket إعلانًا:

وجدنا ثغرة أمنية تتعلق بمزود خدمة تابع لجهة خارجية، والذي تم ثابت. لم يتأثر سوى عدد قليل جدًا من المستخدمين، وسنقوم بالاتصال بهؤلاء المستخدمين بشكل استباقي.

ولم يكشف الإعلان عن حجم الخسائر أو عدد الضحايا، لكنه أثار هلعا أكبر. وفقًا لحجم المعاملات لشهر واحد لمنصة Polymarket في عام 2025، فمن المقدر أن تصل إلى مليارات الدولارات شهريًا. فحتى "الرقم الصغير جدًا" قد يؤدي إلى خسائر فادحة.

على عكس هجمات التصيد الاحتيالي الشائعة، لم يتم تداول أي روابط مشبوهة في وقت وقوع الحادث، حتى أن العديد من الضحايا قاموا بتمكين المصادقة الثنائية عبر البريد الإلكتروني. إن مفتاح تجاوز خط الدفاع لا يكمن في جانب المستخدم، بل في مصادقة الطرف الثالث في الخلفية.

أصبحت آلية تسجيل الدخول إلى Magic Labs ثغرة

لخفض الحد الأدنى، قدمت Polymarket "إنشاء محفظة غير خاضعة للحفظ عبر البريد الإلكتروني بنقرة واحدة" من Magic Labs. لا يحتاج المستخدمون إلى الاحتفاظ بالكلمات التذكيرية ويمكنهم تشغيل أصول Ethereum عن طريق إرسال رموز التحقق. ومع ذلك، يستغل المهاجم بشكل مباشر ثغرة النظام في طبقة مصادقة Magic Labs للتحكم في المحفظة، ويعتبر المصادقة الثنائية (2FA) غير صالحة.

يُظهر التدفق الحالي على السلسلة أن عنوان المتسلل قام بتقسيم الأصول في فترة زمنية قصيرة وخلط العملات المعدنية عبر طبقات متعددة، مما يزيد من صعوبة تتبعها. وعلى الرغم من أن المسؤول قال إنه "تم إصلاحه"، إلا أنه لم يستجب بعد لطلب المجتمع بتقديم تقرير كامل بعد الحادث.

في الوقت نفسه، حذرت شركة SlowMist الأمنية GitHub من ظهور روبوتات نسخ Polymarket الخبيثة، والتي تستهدف على وجه التحديد اللاعبين المتقدمين الذين يبنون نصوص التداول الخاصة بهم. يقرأ هذا البرنامج ملف التكوين المحلي ويرسل المفتاح الخاص سرًا. وعلى الرغم من أنها لا ترتبط بشكل مباشر بثغرة Magic Labs، إلا أنها اندلعت في نفس اليوم. ص>

ملصق:
سياسة
يشارك:
FB X YT IG
energys@Claire

energys@Claire

محرر Blockchain والأصول المشفرة، مع التركيز علىسياسةتحليل محتوى المجال والرؤى

تعليق (10)

索菲亞
索菲亞 8منذ أيام
邏輯清晰,數據詳實,好文。
斯坦利
斯坦利 8منذ أيام
生態繁榮比單一技術突破更重要。
賽勒斯
賽勒斯 8منذ أيام
觀點贊同,支持繼續分享。
以利亞
以利亞 8منذ أيام
如何參與一個測試網?
莉拉
莉拉 9منذ أيام
目前行業泡沫減少,價值回歸。
黛博拉
黛博拉 9منذ أيام
認同,區塊鏈在改變商業邏輯。
克利福德
克利福德 9منذ أيام
什麼是“汽油戰”(Gas War)?
碧玉
碧玉 21منذ أيام
認同,數據價值上鍊是關鍵。
貓咪
貓咪 24منذ أيام
如何辨別一個區塊鏈項目是不是騙局?
伊恩
伊恩 32منذ أيام
期待更多項目真正實現落地。

أضف تعليقا

محتوى ذو صلة

O chefe russo da darknet “Moriarty” Solana emite a moeda meme $ MORI, administra 3,2 milhões de canais e se autodenomina o imperador do crime

O chefe russo da darknet “Moriarty” Solana emite a moeda meme $ MORI, administra 3,2 milhões de canais e se autodenomina o imperador do crime

2026-02-09
As recompensas de staking de PoS deveriam ser tributadas imediatamente? A insatisfação de casal dos EUA com a ação judicial da Receita Federal vira foco de discussão

As recompensas de staking de PoS deveriam ser tributadas imediatamente? A insatisfação de casal dos EUA com a ação judicial da Receita Federal vira foco de discussão

2026-02-09
Presidente da SEC dos EUA, Paul Atkins: A tokenização e os ativos digitais entrarão totalmente no sistema financeiro

Presidente da SEC dos EUA, Paul Atkins: A tokenização e os ativos digitais entrarão totalmente no sistema financeiro "mais cedo do que todos esperam"

2026-02-09
O CFO da empresa de software se apropriou indevidamente de US$ 35 milhões de fundos de clientes para apostar no DeFi e perdeu tudo

O CFO da empresa de software se apropriou indevidamente de US$ 35 milhões de fundos de clientes para apostar no DeFi e perdeu tudo

2026-02-09
Czar da Criptografia da Casa Branca, David Sacks: Confiante de que a “Lei de Estrutura do Mercado de Criptografia” será aprovada este ano, o que fornecerá clareza regulatória ao setor

Czar da Criptografia da Casa Branca, David Sacks: Confiante de que a “Lei de Estrutura do Mercado de Criptografia” será aprovada este ano, o que fornecerá clareza regulatória ao setor

2026-02-09
A plataforma de negociação

A plataforma de negociação "Asia-Pacific Eant" BitAsset estava envolvida em operações de propriedade do continente e dois responsáveis foram processados

2026-02-09

محتوى شائع

Ủy ban Chứng khoán và Tương lai Hồng Kông cảnh báo: FoFund, Fo Coin và Taohuayuan NFT là những “sản phẩm đáng ngờ” và nhà đầu tư cần thận trọng

Ủy ban Chứng khoán và Tương lai Hồng Kông cảnh báo: FoFund, Fo Coin và Taohuayuan NFT là những “sản phẩm đáng ngờ” và nhà đầu tư cần thận trọng

2026-02-09
 Tin nóng》Hoa Kỳ Văn phòng Kiểm soát Tiền tệ: Các ngân hàng có thể tự do giao dịch tài sản tiền điện tử và quyền lưu ký mà không cần sự chấp thuận trước

Tin nóng》Hoa Kỳ Văn phòng Kiểm soát Tiền tệ: Các ngân hàng có thể tự do giao dịch tài sản tiền điện tử và quyền lưu ký mà không cần sự chấp thuận trước

2026-02-09
 “DGCX Xinkangjia” của Trung Quốc lừa đảo 13 tỷ RMB! Sàn vàng Dubai giả, hơn 2 triệu nạn nhân

“DGCX Xinkangjia” của Trung Quốc lừa đảo 13 tỷ RMB! Sàn vàng Dubai giả, hơn 2 triệu nạn nhân

2026-02-09
 Cuối cùng? Bộ Tư pháp Montenegro ra lệnh dẫn độ Do Kwon về Mỹ, giấc mơ trở về Hàn Quốc của nhà sáng lập Terra tan vỡ

Cuối cùng? Bộ Tư pháp Montenegro ra lệnh dẫn độ Do Kwon về Mỹ, giấc mơ trở về Hàn Quốc của nhà sáng lập Terra tan vỡ

2026-02-09
 Sự thật đằng sau sự sụp đổ của “Nhóm khai thác ven đường LuBian” lớn thứ sáu thế giới đã được phơi bày: 127.000 Bitcoin đã bị đánh cắp, hiện trị giá 14,5 tỷ USD (không bị ảnh hưởng trong 5 năm)

Sự thật đằng sau sự sụp đổ của “Nhóm khai thác ven đường LuBian” lớn thứ sáu thế giới đã được phơi bày: 127.000 Bitcoin đã bị đánh cắp, hiện trị giá 14,5 tỷ USD (không bị ảnh hưởng trong 5 năm)

2026-02-09
 Cựu giám đốc điều hành Blockchain.com Jamie Selway gia nhập SEC và sẽ giữ chức vụ Giám đốc Giao dịch và Thị trường

Cựu giám đốc điều hành Blockchain.com Jamie Selway gia nhập SEC và sẽ giữ chức vụ Giám đốc Giao dịch và Thị trường

2026-02-09

الأقسام ذات الصلة

سوق تحليل تكنولوجيا سياسة

محتوى شائع

能量池代理招募 trx能源租賃 USDT免手續費轉賬 trx 傳輸能量 電子傳輸能量 TRX能源市場 能源機器人源代碼 TRX交易所 波場能源機構 TRX能量 Telegram TRX 能源機器人源代碼 TRX能源銷售 tron能源平台 TRX能源租賃 TRX交換機器人 TRX 能量閃光租賃 TRON 能量閃光租賃 TRON能源購買 TRON 能源銷售 倫特隆能源