تواجه Polymarket جدلًا أمنيًا بعد ادعاء تسريب سجلات أكثر من 300,000 مستخدم

حساب معلومات التهديدات على البلوكشين Dark Web Informer كشف عن الحادثة في اليوم التالي على X. ردت Polymarket في نفس اليوم، قائلة إن البيانات المذكورة "كانت قابلة للوصول عبر واجهة برمجة التطبيقات العامة"، وصنّفت الحادثة على أنها "ميزة" وليس تسريبًا. لكن البيان الرسمي لم يعالج مباشرة تفاصيل التكوين الخاطئ لواجهة برمجة التطبيقات واستغلال الثغرات التي ذكرها القراصنة.

في 27 أبريل، رفع المهاجم الذي يستخدم اسم مستعار "xorcat" حزمة مضغوطة على منتدى للجريمة الإلكترونية: ملف JSON بحجم 8.3 ميجابايت، يصبح بحجم حوالي 750 ميجابايت بعد الاستخراج، ويتضمن أكثر من 300,000 سجل مستخرج من Polymarket، و5 نصوص استغلال نشطة (PoC)، بالإضافة إلى تقرير تقني.

استجابة Polymarket في نفس اليوم. لكن الاستجابة لم تكن اعتذارًا أو تحقيقًا نموذجيًا لإدارة الأزمات، بل كانت ردًا تحديًا شبه مباشر. نشر الحساب الرسمي للمنصة على X مقالًا ساخرًا يشير إلى أن جميع المحتويات ذات الصلة يمكن الوصول إليها عبر نقاط نهاية عامة وبيانات سلسلة، ووصفها بأنها "ميزة، وليست ثغرة".

تحول الحدث إلى روجومون: يصرّ المخترقون على أن هذا هجوم على البيانات تم نشره دون إشعار، ويشيرون تحديدًا إلى عدة تكوينات خاطئة في واجهة برمجة التطبيقات؛ بينما يصرّ النظام على أن جميع المحتويات كانت بيانات عامة، ولم يتم تسريب أي معلومات خاصة.

وفقًا لوصف xorcat في منشوره على المنتدى، لم تعتمد الهجمة على أي ثغرة معقدة واحدة، بل كانت أكثر شبهاً بعبور سلسلة من الأبواب غير المغلقة. ووفقًا لمراجعة موقع The CyberSec Guru المتخصص في الأمن السيبراني، استغلت الهجمة أساسًا ثلاثة أنواع من المشكلات: نقاط نهاية API غير معلنة، وتجاوز الترقيم في واجهة برمجة تطبيقات التداول CLOB (سجل الطلبات المركزي المحدود)، وخطأ في تكوين CORS (مشاركة الموارد عبر الأصول).

أشار التقرير العام إلى أن عدة نقاط نهاية في Polymarket لا تتطلب مصادقة على الإطلاق. على سبيل المثال، تدعم نقطة نهاية التعليقات التخمين العنيف للملفات الشخصية الكاملة للمستخدمين؛ وتُعرّض نقطة نهاية التقارير بيانات نشاط المستخدمين؛ وتسمح نقطة نهاية المتابعين لأي شخص برسم خريطة كاملة للعلاقات الاجتماعية لأي عنوان محفظة دون تسجيل الدخول.

تُظهر مراجعات منشورات منتدى xorcat و The CyberSec Guru و The Crypto Times أن حزمة التسريب منظمة بشكل عام وفقًا لثلاث فئات: المستخدمون، والأسواق، وأدوات الهجوم (انظر بطاقة البيانات أدناه).

تحتوي ملفات المستخدمين المستقلة البالغ عددها 10,000 ملف على اسم المستخدم، الاسم المستعار، السيرة الذاتية، صورة الملف الشخصي، عنوان المحفظة الوكيلة وعنوان المحفظة الأساسية. يمكن لـ 9,000 ملف من متابعين المستخدمين رسم خريطة العلاقات الاجتماعية. تحتوي جميع بيانات التعليقات البالغ عددها 4,111 تعليقًا على ملفات المستخدمين المرتبطة بها. تتضمن سجلات التقارير البالغ عددها 1,000 سجلًا 58 عنوانًا مستقلًا لإيثيريوم. كما توجد حقول معرفات المستخدم الداخلية مثل createdBy وupdatedBy موزعة في مختلف الأماكن، مما يعيد تكوين جزء من هيكل حسابات المنصة بشكل غير مباشر.

يشمل جانب السوق 48,536 سوقًا من نظام Polymarket Gamma (بما في ذلك البيانات الوصفية الكاملة، ومعرف الشرط، ومعرف الرمز)، وأكثر من 250,000 سوق نشط على CLOB (مع عناوين عقود FPMM)، و292 حدثًا مع أسماء مستخدمين داخلية وعناوين محفظة للمُقدّمين والمحكمين، بالإضافة إلى 100 تكوين مكافآت مع عناوين عقود USDC ومعدلات دفع يومية.

عنوان المحفظة نفسه مجهول على السلسلة، لكنه يفقد خصوصيته فور ارتباطه باسم أو سيرة ذاتية أو صورة رمزية. هذه هي النقطة الجدلية الأساسية التي لم تتناولها استجابة Polymarket هذه:

Whether data is "public" and whether user identities can still be protected after data aggregation are two different issues.

رد Polymarket في 28 أبريل على X كان مكونًا من تغريدة واحدة فقط. بدأ المنصة برمز تعبيري «😂»، وشكك أولاً في مصطلح «تم اختراقه»، ثم ردّ على كل نقطة على حدة: البيانات على السلسلة يمكن التدقيق فيها علنًا دائمًا، ولم يتم «تسريب» أي بيانات، حيث يمكن الحصول على نفس المعلومات مسبقًا مجانًا عبر واجهة برمجة التطبيقات العامة، ولا حاجة لشرائها بثمن. وختم التعبير بتحديد أنه «ميزة، وليست ثغرة».

أشارت The Crypto Times إلى أن رد Polymarket لم يعالج مباشرة الادعاءات التقنية المحددة التي قدمها القراصنة، مثل تكوين API غير صحيح، وتكوين CORS غير صحيح، والنقاط النهائية غير المعلنة، ونقص حدود المعدل، إلخ. وقد ركزت المنصة بقوة على الجانب الأسهل للدحض، وهو "ما إذا كانت البيانات عامة"، لكنها ظلت صامتة بشأن المسألة الأمنية الأكثر جوهرية: "استخراج المهاجم لكميات كبيرة من البيانات وتعبئتها عبر مسارات غير متوقعة".

كما زُعم أن xorcat لم يُبلّغ Polymarket مسبقًا، بحجة أن المنصة لا تمتلك برنامجًا لجوائز الأمن. لم يتم التحقق من هذه المعلومة من قبل طرف ثالث حاليًا، لكن إن كانت صحيحة، فهذا يُظهر فراغًا ما في الحوكمة الأمنية النشطة لـ Polymarket: عدم وجود قناة رسمية للإبلاغ المسؤول، مما يدفع المهاجمين إلى النشر العلني المباشر بدلاً من الإبلاغ الداخلي.

العودة إلى خط الزمن، من أغسطس إلى سبتمبر 2024، أبلغ عدة مستخدمين قاموا بتسجيل الدخول إلى Polymarket عبر حسابات Google عن سرقة USDC، حيث استغل المهاجمون دالة proxy في Magic Labs SDK لتحويل أرصدة المستخدمين إلى عناوين تصيد. وتأكيد خدمة العملاء في Polymarket على وجود ما لا يقل عن 5 هجمات مشابهة قبل نهاية سبتمبر.

في نوفمبر 2025، استغل القراصنة منطقة التعليقات في Polymarket لنشر روابط تصيد، وبعد النقر عليها، تم زرع سكريبت ضار على أجهزة المستخدمين، وتسببت أنشطة الاحتيال هذه في خسائر تجاوزت 500,000 دولار أمريكي.

في ديسمبر 2025، حدثت مرة أخرى سرقة جماعية للحسابات. تأكّد Polymarket على Discord من الحدث، وأرجعه إلى "ثغرة في خدمة المصادقة من طرف ثالث". واتّجهت المناقشات على وسائل التواصل الاجتماعي بشكل عام نحو مستخدمي تسجيل الدخول عبر بريد Magic Labs، ولم تُسمِّ المنصة صراحةً مزوّد الخدمة المتأثر، ولم تُفصح عن العدد الدقيق للمستخدمين المتأثرين أو حجم الخسائر.

بعد كل حدث، قدمت المنصة ردودًا بدرجات متفاوتة: من خلال إلقاء اللوم على مزودين خارجيين، إلى الاعتراف بالمشكلة والتعهد بالاتصال بالمستخدمين المتأثرين. إن حدث xorcat هذا هو الأول الذي يستخدم "هذا بيانات عامة بالفعل" كخط دفاع كامل. من منظور تاريخي، يبدو أن هذا الرد更像是 محاولة للسيطرة على طبيعة الحدث، وليس استجابة تقليدية لحادث أمني.

حتى تاريخ نشر هذا التقرير، لم تقدم Polymarket أي توضيحات بشأن إصلاح الثغرات الفنية التي كشفها xorcat، ولا يزال من الممكن لأي شخص تنزيل نصوص PoC من المنتدى.

الكاتب: كلوود، شينتشاو TechFlow