بوليماركت قالت إنها ستعوّض المستخدمين بالكامل بعد أن استنزف سكربت مخترَق من مزوّد خارجي حوالي 3 ملايين دولار من أقل من 15 حساباً.
أبرز النقاط:
- بوليماركت قالت إن اختراق طرف ثالث أدّى إلى حقن كود خبيث في واجهتها الأمامية.
- باحثون أمنيون تتبّعوا خسائر بنحو 3 ملايين دولار عبر أقل من 15 حساباً متأثراً.
- يأتي الخرق بعد حادثة منفصلة في محفظة إدارية لم تؤثّر على أموال المستخدمين.
اختراق بوليماركت
أكّدت بوليماركت ذلك يوم الجمعة، موضحةً أن المهاجمين استخدموا مزوّداً خارجياً مخترَقاً لوضع كود خبيث في واجهتها الأمامية، ما عرّض بعض المستخدمين لهجوم يستنزف المحافظ.
كان أول من نبّه إلى الخرق باحث أمن سلاسل الكتل Specter، الذي قال إن حملة تصيّد واضحة استنزفت أموالاً من أكثر من 11 محفظة تحتفظ بعملة PUSD (PUSD)، وهي العملة المستقرة الخاصة ببوليماركت.
قدّر Specter الخسائر بـ 2.94 مليون دولار، بينما أكّد PeckShield لاحقاً رقماً مشابهاً وقال إن المهاجم جسَر الأموال من Polygon (POL) إلى Ethereum (ETH)، ثم حوّلها إلى 1,893 ETH.
اعترفت المنصة بالخرق عبر حساب Polymarket Traders على منصة X، قائلةً إن الاعتماد المتأثّر قد أُزيل وإن المستخدمين المتضررين سيُتواصَل معهم مباشرة.
وكتبت: "اكتشفنا هذا الصباح أن مزوّداً خارجياً من الطرف الثالث قد تم اختراقه، ما أدّى إلى حقن سكربت خبيث في واجهتنا الأمامية لبعض المستخدمين. لقد سيطرنا على الحادثة وأزلنا الاعتماد المتأثّر. نحن نتواصل مع المستخدمين المتضررين ونعيد لهم أموالهم بالكامل".
اقرأ أيضاً: المؤسس المشارك لـ Anthropic يقول إن أول صدمة حقيقية للوظائف من الذكاء الاصطناعي تصيب الخريجين
التداعيات الأمنية
كرّر William LeGate، الذي يعمل عن كثب مع المنصة، أن المشكلة قد تم حلّها، وقال إن المستخدمين المتضررين سيتلقّون تعويضاً كاملاً.
وصفت GoPlus Security الحادثة بأنها هجوم على سلسلة التوريد، مشيرةً إلى أن نحو 15 حساباً تأثّر، وأن إجمالي الخسائر بلغ 3 ملايين دولار.
توصلت Bubblemaps إلى الخلاصة العامة نفسها وأشادت باستجابة بوليماركت بعد استنزاف الأموال واحتواء الثغرة.
يزيد هذا الخرق الأخير من الضغط لأنه يأتي بعد حادثة أخرى الشهر الماضي، عندما خسرت محفظة إدارية تُستخدم لشحن مكافآت الموظفين حوالي 700 ألف دولار، على الأرجح بسبب اختراق مفتاح خاص.
قدّر المحقّق في قضايا التشفير ZachXBT تلك الخسارة السابقة أولاً بنحو 520 ألف دولار، قبل أن تشير Bubblemaps لاحقاً إلى الرقم الأعلى بعد تتبّع الأموال عبر عدة عناوين.
قال المطوّر Josh Stevens إن مفتاحاً خاصاً عمره 6 سنوات تم كشفه عبر إعدادات داخلية، وبعد ذلك قامت الشركة بتدوير بيانات الاعتماد والانتقال إلى خدمات إدارة المفاتيح.
أثّرت الحادثتان في الأنظمة المحيطة بأسواق التنبؤ لا في الأسواق نفسها، لكنهما جاءتا في فترة صعبة على الشركة. فقد ذكرت وول ستريت جورنال مؤخراً أن بوليماركت دفعت لمبدعين في سن الجامعة ما بين 2,000 و3,000 دولار شهرياً لنشر مقاطع فيديو مراهنات مُفتعلة، كما زعم متداول آخر هذا الشهر أن تغييرات في القواعد مرتبطة بسوق بيع بيتكوين ضمن Strategy كلّفته 500 ألف دولار.
اقرأ بعد ذلك: هاكرز BlueNoroff الكوريون الشماليون استخدموا مكالمات Zoom مزيفة مُولَّدة بالذكاء الاصطناعي لاختراق 100 مسؤول تشفير