أكدت Polymarket يوم الخميس أن طرفاً ثالثاً مخترقاً مكّن المهاجمين من حقن كود خبيث في الواجهة الأمامية لسوق التوقعات، مما أدى إلى سحب ما يقرب من 3 ملايين دولار من أموال المستخدمين. لم يستهدف الهجوم العقود الذكية لـ Polymarket، بل تم تقديم سكريبت خبيث عبر الطرف الثالث المخترق لمتصفحات بعض المستخدمين، مما سمح بالوصول إلى محافظهم وسحب عملة pUSD، وهي العملة المستقرة المدعومة بـ USDC على المنصة. أصبحت هجمات سلسلة التوريد أداة جاذبة بشكل متزايد في العملات الرقمية، لأنها تتجاوز تماماً الكود الموجود على السلسلة الذي تم تدقيقه، وتهاجم طبقة الموقع الإلكتروني والاعتماديات الخارجية التي نادراً ما يدققها المستخدمون.
اختراق المهاجمين عبر سكريبت خبيث من خلال طرف ثالث مخترق
قام الطرف الثالث المخترق بتقديم سكريبت خبيث لمتصفحات بعض المستخدمين، مما سمح بالوصول إلى محافظهم وسحب عملة pUSD، وهي العملة المستقرة المدعومة بـ USDC المستخدمة لتسوية جميع الصفقات على المنصة. ثم قام المهاجمون بجسر الأموال المسروقة من Polygon إلى Ethereum وتحويلها إلى حوالي 1,893 إيثريوم، مركزين العائدات في محفظة واحدة. نظراً لأن الكود الخبيث كان موجوداً في الموقع الإلكتروني وليس على البلوكتشين، لم يكن لدى المستخدمين المتأثرين طريقة تذكر لاكتشاف أن الواجهة التي يثقون بها قد تم التلاعب بها. رفضت Polymarket الكشف عن اسم الطرف الثالث المخترق أو تقديم تعليقات إضافية.
أقل من 15 حساباً تأثرت، تعهد برد كامل للأموال
خلص محققو السلسلة في Bubblemaps إلى أن الضرر كان محدوداً إلى حد كبير، حيث تأثر أقل من 15 حساباً للمستخدمين. وأعلنت Polymarket أنها ستعوض العملاء المتضررين بالكامل، وأكدت أن مشكلة الواجهة الأمامية قد تم احتواؤها وإزالة الاعتمادية المتأثرة. يشير العدد المحدود للحسابات إلى أن السكريبت الخبيث وصل فقط إلى مجموعة فرعية من المستخدمين قبل أن تكتشف الشركة الأمر وتسحبه. وذكرت الشركة في منشور أنها اكتشفت الطرف الثالث المخترق هذا الصباح وأنها تمكنت من احتواء الاختراق وإزالة الاعتمادية المتأثرة.
ثاني اختراق لـ Polymarket في غضون شهرين
كان هذا الاختراق هو الثاني لـ Polymarket في شهرين. في مايو، أدى استغلال محفظة استخدم بيانات اعتماد موظفين مخترقة إلى خسائر بلغت حوالي 700 ألف دولار، وعزيت هذه الحادثة إلى اختراق المفاتيح الخاصة وليس عيباً في الموقع الإلكتروني. معاً، يشير الحادثان إلى مخاطر تشغيلية ومخاطر من طرف ثالث بدلاً من نقاط ضعف في البروتوكول الأساسي. تتجاوز هجمات الواجهة الأمامية وسلسلة التوريد العقود الذكية المدققة تماماً، وتهاجم طبقة الموقع الإلكتروني والاعتماديات الخارجية التي نادراً ما يدققها المستخدمون، وهو أداة أصبحت هدفاً جاذباً بشكل متزايد مع ازدياد صعوبة اختراق الكود الموجود على السلسلة نفسه.
الأسئلة الشائعة
ما سبب اختراق Polymarket الذي أدى إلى سحب 3 ملايين دولار من أموال المستخدمين؟
سمح طرف ثالث مخترق للمهاجمين بحقن كود خبيث في الواجهة الأمامية لـ Polymarket. وصل السكريبت الخبيث إلى متصفحات بعض المستخدمين، وسحب عملة pUSD من محافظهم، وحول الأموال المسروقة إلى حوالي 1,893 إيثريوم. استهدف الهجوم طبقة الموقع الإلكتروني وليس العقود الذكية لـ Polymarket.
كم عدد مستخدمي Polymarket الذين تأثروا باختراق الطرف الثالث؟
وجد محققو السلسلة في Bubblemaps أن أقل من 15 حساباً تأثرت بالسكريبت الخبيث. تعهدت Polymarket بتعويض العملاء المتضررين بالكامل، وأكدت أن مشكلة الواجهة الأمامية قد تم احتواؤها وإزالة الاعتمادية المتأثرة.
هل تعرضت Polymarket لحوادث أمنية أخرى مؤخراً؟
في مايو، تعرضت Polymarket لاستغلال محفظة منفصل استخدم بيانات اعتماد موظفين مخترقة، مما أدى إلى خسائر بلغت حوالي 700 ألف دولار. عزيت تلك الحادثة إلى اختراق المفاتيح الخاصة وليس عيباً في الموقع الإلكتروني، مما يجعل اختراق الطرف الثالث ثاني حادثة أمنية لـ Polymarket في غضون شهرين.
