أكثر من 520,000 دولار سُرقت من محافظ مرتبطة بعمليات Polymarket على شبكة Polygon بعد أن تأكدت منصة سوق التنبؤات من اختراق المفتاح الخاص. ليس استغلالًا للعقد الذكي، ولا ثغرة في البروتوكول. فقط شخص حصل على مفاتيح لم يكن ينبغي له أن يمتلكها.
أشار باحث البلوكشين زاك إكس بي تي إلى التدفقات المشبوهة لأول مرة في 22 مايو، وحدد عنوانين مرتبطين بعقود محوّل إطار عمل الرموز المشروطة UMA الخاص بـ Polymarket. وتحرك فريق تطوير Polymarket بسرعة لتوضيح الوضع: المحفظة المخترقة كانت محفظة داخلية تُستخدم لدفع المكافآت، ولم تتأثر أموال المستخدمين بأي شكل من الأشكال.
ما الذي حدث وما الذي لم يحدث
هذا هو الأمر بشأن حوادث أمان العملات المشفرة. الفرق بين "سرق أحدهم المفتاح" و"كسر أحدهم الخزنة" مهم جدًا. في هذه الحالة، تم سحب حوالي 5,000 رمز POL وكمية غير معلنة من USDC من ما وصفته Polymarket بأنه محفظة عمليات داخلية.
فكر في الأمر كأن شخصًا ما سرق مفتاح درج النقود الصغيرة للشركة مقابل كسر خزنة البنك الفعلية. الأموال لا تزال مفقودة، لكن سلامة هيكل النظام غير موضع شك.
كانت Polymarket صريحة في هذه النقطة: ظلت حلول السوق، وعمليات المنصة، وبنية العقود الذكية سليمة بالكامل طوال الحادث. وقد بدأ الفريق إجراءات تغيير المفاتيح الأساسية وتأكد من أن التحقيق لا يزال جاريًا.
زاك إكس بي تي، الذي بناى سمعة كمحاسب قانوني غير رسمي في عالم التشفير، لاحظ المعاملات غير الطبيعية التي تتدفق عبر عقود CTF Adapter. وقد أعطى تنبيهه المجتمع الأوسع أول نظرة على الحادث قبل أن تصدر بوليماركت بيانها الخاص. باللغة الإنجليزية: كانت العناوين التي تنقل الأموال مرتبطة ببنية تحتية لتسوية سوق التنبؤات الخاص ببوليماركت، مما جعل الانسيابات الخارجة تبدو أكثر إثارة للقلق مما اتضح لاحقًا.
السؤال الأمني الذي لا يمكن لـ Polymarket تجاهله
إن اختراق المفتاح الخاص هو، من نواحٍ عديدة، فشل أمني أكثر إزعاجًا من خطأ في العقد الذكي. إن استغلال العقود الذكية هو مشكلة تقنية لها حلول تقنية. تقوم بتصحيح الكود، ثم تقوم بمراجعة أمنية مرة أخرى، ثم تستمر. أما اختراق المفتاح فيشير إلى فشل في الأمان التشغيلي، وهو الطبقة البشرية من البنية التحتية للعملات المشفرة التي لا يمكن لأي كمية من Solidity أنيقة أن تصلحها.
السؤال الطبيعي الذي ينشأ هو: كيف تم اختراق المفتاح في المقام الأول؟ لم تُفصّل Polymarket علنًا وקטור الهجوم. هل كان التصيد الاحتيالي؟ أم جهاز مخترق؟ أم تهديد داخلي؟ كل سيناريو يحمل تداعيات مختلفة على وضع الأمان للمنصة في المستقبل.
للسياق، نمت Polymarket لتصبح واحدة من أكثر أسواق التنبؤ بروزًا في عالم التشفير، وجذبت اهتمامًا كبيرًا خلال الأحداث السياسية والعالمية الأخيرة. تقوم المنصة بمعالجة حجوم كبيرة من النشاط التجاري، مما يجعل أمنها التشغيلي مسألة تهم السوق بشكل عام وليس مجرد شاغل متخصص.
إدارة المفتاح الخاص تقع في قلب كل عملية تشفيرية. تتضمن أفضل الممارسات الصناعية عادةً وحدات أمان مادية، ومحفظات متعددة التوقيع، وتحكمات في الوصول متدرجة لوظائف تشغيلية مختلفة. سواء كانت Polymarket قد وضعت هذه التدابير الوقائية للمحفظة المخترقة، وإذا كانت موجودة، فكيف تم تجاوزها، ستكون الأسئلة الحاسمة التي يجب على التحقيق الإجابة عنها.
رقم 520,000 دولار، رغم أنه ليس كارثيًا وفقًا لمعايير استغلال العملات المشفرة، إلا أنه كبير بما يكفي ليستدعي مراجعة جادة. قارنه بالاستغلالات المتعددة بمئات الملايين من الدولارات وهجمات DeFi التي عانت منها الصناعة، وستراه محدودًا نسبيًا. لكن طبيعة الخرق، وليس حجمه، هي ما يهم هنا.
ما يعنيه ذلك للمستثمرين
تأكيد بولي ماركت السريع على أن أموال المستخدمين آمنة هو التفصيل الأهم لأي شخص يتداول بنشاط على المنصة. إذا كان لديك مراكز مفتوحة، فتم الإبلاغ عن أن أموالك ونتائج أسواقك غير متأثرة.
لكن انظر، التأكيد بعد حادث أمني هو أمر أساسي. كل بروتوكول مخترق يقول إن أموال المستخدمين آمنة في الأعقاب الفورية. ما يميز المنصات التي تحافظ على الثقة عن تلك التي تفقدها هو ما يحدث في الأسابيع والشهور التالية للاختراق.
يجب على المستثمرين مراقبة بعض الإشارات المحددة. أولاً، ما إذا كانت Polymarket تنشر تقريرًا تحليليًا مفصلًا يشرح بالضبط كيف تم اختراق المفتاح وما خطوات التصحيح التي تم اتخاذها. ثانيًا، ما إذا خضعت المنصة لمراجعة أمنية مستقلة لممارساتها التشغيلية، وليس فقط عقودها الذكية. ثالثًا، ما إذا تم استرداد الأموال المسروقة أو تتبعها إلى كيانات محددة.
لقد أصبح سوق DeFi الأوسع حساسًا بشكل متزايد لفشل الأمان التشغيلي. غالبًا ما تشهد المنصات التي تتعرض لخرق أمني، حتى لو كان صغيرًا نسبيًا، انخفاضًا في حجم التداول على المدى القصير مع انتقال المستخدمين إلى منافسين يُنظر إليهم على أنهم أكثر أمانًا. تعمل Polymarket في فجوة فريدة نوعًا ما كسوق تنبؤات بدلاً من بروتوكول DeFi تقليدي، مما يعني أن ميزة تنافسية تعتمد بشكل كبير على السيولة وثقة المستخدمين بدلاً من آليات العائد.
للجهاز الكريبتوي الموسّع، يُعدّ هذا الحادث نقطة بيانات أخرى في حجة متزايدة تشير إلى أن أمن العمليات يستحق نفس مستوى الاهتمام والاستثمار مثل أمن العقود الذكية. فقد استثمرت الصناعة موارد هائلة في مراجعات الكود والتحقق الرسمي على مدى السنوات القليلة الماضية. لكن الطبقات البشرية والتشغيلية، مثل إدارة المفاتيح، وضوابط الوصول، وبروتوكولات الأمان الداخلية، لم تتلقَ دائمًا نفس المستوى من الدقة. ما لم يتغير هذا الوضع، ستستمر اختراقات المفاتيح الخاصة في كونها أحد أكثر متجهات الهجوم شيوعًا وقابلية للوقاية في عالم الكريبتوي.