ثغرة في اعتماد الطرف الثالث أدت إلى فقدان أموال مستخدمي Polymarket وكشفت عن مخاطر بنية تسجيل الدخول إلى Web3

حدث ملخص: اختراق طبقة التوثيق، سرقة ملايين الدولارات

في 24 ديسمبر 2025، أكدت Polymarket رسميًا تعرض منصتها لحدث اختراق واسع النطاق للحسابات. لم يكن سبب الحادث هجوم على العقود الذكية، بل كان خللاً أمنيًا أدخله مزود خدمة التوثيق من طرف ثالث. وأبلغ العديد من المستخدمين عن تحويل أرصدتهم دون إذن، حيث تم مسح بعض أرصدة USDC بشكل فوري وإغلاق مراكزهم تلقائيًا.

تم الكشف عن الحادث لأول مرة في 22 ديسمبر 2025 على منصات التواصل الاجتماعي مثل X، Reddit وDiscord. واشتكى المستخدمون من اختفاء أموال حساباتهم بعد محاولات تسجيل دخول متعددة. وقال أحد الضحايا إن رصيده انخفض فجأة من الحالة الطبيعية إلى $0.01، وأبلغ آخرون أنه حتى مع تفعيل التحقق المزدوج عبر البريد الإلكتروني، لم يتمكنوا من منع السرقة.

التوثيق من طرف ثالث أصبح نقطة ضعف في النظام البيئي للعملات المشفرة

لم تكشف Polymarket عن اسم مزود الخدمة من طرف ثالث أو إجمالي الأموال المسروقة، لكن تقارير المستخدمين تشير إلى حلول تسجيل الدخول عبر البريد الإلكتروني الشائعة مثل Magic Labs. وذكر هذا الشركة في قناة Discord أنها حددت المشكلة وأصلحتها، وأن الخطر قد تم إزالته. ومع ذلك، أثارت تصريحات Polymarket التي تقول إن الأمر “حادث معزول” و"يؤثر على عدد قليل من المستخدمين" تساؤلات.

المسألة الأساسية هي: من أجل تسهيل الاستخدام السريع للمستخدمين، تعتمد العديد من منصات DeFi على التوثيق من طرف ثالث، وخدمات المحافظ، وأنظمة تسجيل الدخول. عندما يتم اختراق دفاعات أحد المزودين، يمكن أن تتسبب السلسلة في تأثيرات متتالية تؤثر على العديد من التطبيقات في النظام البيئي. هذا الهيكل ينقل المخاطر المحتملة من طبقة العقود الذكية إلى طبقة التوثيق — وهي نقطة ضعف غالبًا ما تُغفل، لكنها قاتلة بنفس القدر.

الخطر الخفي من تسجيل الدخول عبر البريد الإلكتروني والمحفظة

طريقة تسجيل الدخول باستخدام “رابط سحري” عبر البريد الإلكتروني تحظى بشعبية واسعة بسبب سهولتها. تقوم المنصة بإنشاء محفظة Ethereum غير مُدارة للمستخدم عند التسجيل، مما يقلل من عتبة دخول المبتدئين في عالم التشفير. لكن الثمن هو أن المزود يظل يسيطر على آلية استعادة الدخول.

قال المستخدمون المتضررون إن أموالهم سُرقت رغم عدم النقر على أي روابط مشبوهة. وهذا يدل على أن الهجوم لم يتم عبر التصيد التقليدي، بل عبر ثغرة في خلفية خدمة التوثيق من طرف ثالث. بمجرد أن يتمكن المهاجم من اختراق هذه الطبقة، يمكنه تقليد هوية المستخدم الشرعي، ومن ثم تفويض التحويلات أو تصفية المراكز — دون تدخل من المستخدم.

دروس من التاريخ: تكرار المخاطر الهيكلية

هذه ليست الحالة الأولى. ففي سبتمبر 2024، شهدت Polymarket هجومًا مشابهًا يتعلق بطريقة تسجيل الدخول عبر Google. حيث استغل المهاجمون وظيفة “proxy” في استدعاء تحويل USDC إلى عنوان تصيد، ووصفت Polymarket ذلك بأنه هجوم موجه مرتبط بالتوثيق من طرف ثالث.

وفي نوفمبر 2025، أثرت عمليات الاحتيال في قسم التعليقات على المنصة أيضًا. حيث نشر المحتالون روابط مزيفة لخداع المستخدمين لإدخال معلومات تسجيل الدخول عبر البريد الإلكتروني، مما أدى إلى خسائر تزيد على دولار. وتؤكد هذه السلسلة من الأحداث أن التوثيق وإدارة الجلسات أصبحا هدفين عاليي القيمة، وأن المنصات لا تستثمر بما يكفي في الدفاع عنهما.

تأملات عميقة: تكلفة الاعتماد على طرف ثالث

لم تصدر Polymarket حتى الآن تحليلًا فنيًا أو جدولًا زمنيًا كاملًا للحادث، ولم تكشف عن خطة تعويضات. بدأ المستخدمون المتضررون يتجهون نحو الاتصال المباشر بالمحفظة (مثل MetaMask)، رغم أن ذلك ليس مناسبًا للمبتدئين.

تؤكد هذه الحادثة حقيقة مؤلمة في النظام البيئي للعملات المشفرة: من أجل تحسين تجربة المستخدم، أصبح الاعتماد على خدمات الطرف الثالث في الطبقة البروتوكولية متزايدًا — فهي كانت أدوات مساعدة، لكنها أصبحت تدريجيًا نقطة فشل مركزية في النظام. وعندما تتعرض هذه المسارات الحيوية للاختراق، حتى العقود الذكية الأكثر كمالًا لا يمكنها حماية أموال المستخدمين.

بالنسبة للصناعة بأكملها، فإن تهديد ثغرات التوثيق من طرف ثالث لا يقل خطورة عن ثغرات البروتوكول. تحتاج Polymarket إلى أكثر من تصحيح تقني، بل إلى إعادة تقييم كاملة لسلسلة الاعتماد في نظامها، وضمان توافق معايير أمان مزودي الخدمة مع متطلباتها.