Polymarket تعوّض المستخدمين بالكامل بعد اختراق واجهة أدى لسرقة 3 ملايين دولار
الهجوم استهدف طرفًا ثالثًا وخلف خسائر محدودة شملت أقل من 15 حسابًا من عملة pUSD
أعلنت منصة Polymarket أنها ستقوم بإعادة جميع الأموال للمستخدمين المتضررين بعد تعرضها لاختراق في واجهة الموقع (Frontend) تسبب في خسائر تُقدّر بنحو 3 ملايين دولار من الأصول الرقمية.
وأكدت الشركة أن الهجوم نتج عن اختراق أحد مزودي الخدمات الخارجيين، ما سمح بإدخال أكواد خبيثة إلى واجهة المنصة واستهداف محافظ المستخدمين بشكل مباشر.
ورغم خطورة الحادثة، أوضحت الشركة أن عدد الحسابات المتأثرة كان محدودًا للغاية ولم يتجاوز 15 حسابًا.
كيف تم تنفيذ الهجوم؟
بحسب بيان Polymarket، لم يتم استهداف البنية الأساسية للمنصة، بل تم استغلال ثغرة في طرف ثالث خارجي مسؤول عن جزء من خدمات الموقع.
هذا الاختراق سمح للمهاجمين بإضافة برمجيات خبيثة إلى واجهة المستخدم، ما أتاح لهم سحب الأموال من المحافظ المتصلة بالمنصة.
وأظهرت تحليلات البلوكشين أن معظم الأصول المسروقة كانت من عملة pUSD، وهي عملة مستقرة مدعومة بـ USDC، قبل أن يتم تحويل جزء كبير منها إلى عملة الإيثريوم بعد عملية السحب.
وأكدت الشركة أنها أصلحت الثغرة بالكامل وأزالت الكود الخبيث، مشددة على التزامها بتعويض جميع المستخدمين المتضررين بشكل كامل.
حادثة أمنية ثانية خلال فترة قصيرة
تأتي هذه الواقعة بعد حادثة أمنية أخرى أعلنت عنها Polymarket في الشهر الماضي، عندما تم اختراق محفظة إدارية كانت تُستخدم لمكافآت الموظفين.
في البداية قُدّرت الخسائر بنحو 520 ألف دولار، لكنها ارتفعت لاحقًا إلى حوالي 700 ألف دولار بعد تتبع العمليات على الشبكة.
وأوضح المطور Josh Stevens أن سبب الاختراق كان مفتاحًا خاصًا تم استخدامه لسنوات قبل أن يتم كشفه بسبب خطأ في إعدادات داخلية، ما دفع الشركة إلى تحديث نظام إدارة المفاتيح وتعزيز إجراءات الأمان.
الخلاصة
تعكس الحادثتان التحديات الأمنية المستمرة التي تواجه منصات التنبؤ والأسواق الرقمية، خصوصًا تلك التي تعتمد على أطراف خارجية في بنيتها التقنية، رغم محدودية عدد المستخدمين المتأثرين في هذه الحالة.
