مستخدم Polymarket يفقد أكثر من 2 مليون دولار في هجوم تصيد؛ نائب الرئيس يكشف تفاصيل الثغرة الأمنية
تعرض أحد مستخدمي منصة التوقعات اللامركزية “Polymarket” لخسارة تجاوزت مليوني دولار في هجوم تصيد احتيالي مستهدف، كما أكد نائب رئيس قسم الهندسة في الشركة، جوش ستيفنز، عبر منصة التواصل الاجتماعي “X”. وتسلط هذه الحادثة الأخيرة الضوء على الثغرات الأمنية المستمرة في مجال العملات الرقمية، خاصةً فيما يتعلق بطرق التحقق من المحافظ.
كيف وقع الهجوم؟
وفقًا لستيفنز، تم توجيه الضحية إلى صفحة ويب مزيفة تحاكي واجهة Polymarket الحقيقية بشكل كبير. أنشأ المهاجم نطاقًا وهميًا، ثم خدع المستخدم لإدخال كلمة مرور لمرة واحدة (OTP) خاصة بمحفظته من نوع “Magic Link”. محافظ Magic Link هي محافظ بسيطة تعتمد على البريد الإلكتروني، وتسمح بالدخول عبر رابط فريد يُرسل إلى البريد المسجل للمستخدم. وبمجرد اختراق كلمة المرور لمرة واحدة، تمكن المخترق من الوصول الفوري وسحب الأموال بسرعة.
أكد ستيفنز أن الاختراق لم يكن بسبب ضعف في منصة Polymarket نفسها، بل نتيجة لتفاعل المستخدم مع موقع خارجي ضار. وأشار إلى أن الشركة تعمل الآن بشكل نشط مع المستخدم المتضرر والعديد من بورصات العملات الرقمية لمحاولة تجميد واستعادة الأصول المسروقة.
الرد الفوري وتحسينات الأمان المخطط لها
في بيانه العام، حث ستيفنز جميع مستخدمي Polymarket على توخي الحذر الشديد عند الدخول إلى نطاقات غير تابعة للمنصة، والتحقق من عناوين URLs للمواقع قبل إدخال أي معلومات حساسة. كما كشف أن الشركة تدرس داخليًا إضافة طبقات أمان إضافية، مثل التحقق متعدد العوامل (MFA)، لتوفير حماية أقوى للحسابات.
أعادت هذه الحادثة إشعال النقاشات داخل مجتمع العملات الرقمية حول الموازنة بين سهولة الاستخدام والأمان. محافظ Magic Link، رغم سهولتها، تعرضت لانتقادات بسبب اعتمادها على أمان البريد الإلكتروني، والذي يمكن أن يكون نقطة ضعف واحدة في حالات التصيد.
آثار أوسع على مستخدمي العملات الرقمية
يعتبر هذا الهجوم تذكيرًا صارخًا بأن التصيد الاحتيالي لا يزال واحدًا من أكثر التهديدات فعالية وخطورة في عالم الأصول الرقمية. ومع تزايد شعبية المنصات اللامركزية، تزداد أيضًا تعقيد هجمات الهندسة الاجتماعية التي تستهدف مستخدميها. تسلط خسارة أكثر من مليوني دولار في حادثة واحدة الضوء على الحاجة الملحة لترقية الأمان على مستوى المنصات وتوعية المستخدمين بكيفية اكتشاف وتجنب محاولات التصيد.
بالنسبة للصناعة ككل، قد يؤدي هذا الحدث إلى تسريع تبني طرق تحقق أكثر قوة، مثل مفاتيح الأمان المادية أو التحقق البيومتري، عبر التطبيقات اللامركزية.
خلاصة
يمثل هجوم التصيد الذي تسبب في خسارة مليوني دولار لمستخدم Polymarket خسارة مالية كبيرة وحادثة أمنية حرجة للمنصة. بينما يعمل فريق الهندسة مع الضحية والبورصات لتتبع الأموال، دفع هذا الحدث الشركة للنظر في تطبيق التحقق متعدد العوامل. يُنصح المستخدمون بالبقاء يقظين، والتحقق من أصالة المواقع، وتجنب إدخال بيانات الدخول على مواقع غير موثوقة.
الأسئلة الشائعة
- س1: ما هي محفظة Magic Link؟
محفظة Magic Link هي نوع من محافظ العملات الرقمية تستخدم رابطًا فريدًا وحساسًا للوقت يُرسل إلى بريد المستخدم الإلكتروني لمنح الوصول. صُممت للبساطة، ولكنها قد تكون عرضة للخطر إذا تمكن المهاجم من الوصول إلى البريد الإلكتروني أو خداع المستخدم لإدخال كلمة مرور لمرة واحدة على موقع مزيف. - س2: هل يمكن استعادة الأموال المسروقة؟
تعمل Polymarket بنشاط مع الضحية والعديد من بورصات العملات الرقمية لمحاولة تجميد الأموال المسروقة. لكن التعافي يعتمد على سرعة الاستجابة وما إذا كانت الأموال قد نُقلت إلى محافظ أخرى أو تم تحويلها إلى أصول أخرى. - س3: ما هي إجراءات الأمان التي تخطط Polymarket لإضافتها؟
وفقًا لجوش ستيفنز، تدرس Polymarket داخليًا إدخال التحقق متعدد العوامل (MFA) لتوفير طبقة أمان إضافية تتجاوز نظام Magic Link الحالي المعتمد على البريد الإلكتروني. لم يُعلن بعد عن جدول زمني للتطبيق.
