أدى اختراق مفتاح خاص يعود إلى ست سنوات إلى منح المهاجم وصولًا إلى محفظة المكافآت الداخلية لـ Polymarket، مما أدى إلى سرقة حوالي 700,000 دولار أمريكي عبر 16 عنوانًا. وأكدت منصة سوق التنبؤات، التي تعمل على سلسلة Polygon، أن الخرق لم يؤثر على إيداعات المستخدمين أو نتائج الأسواق.
فكر في الأمر كأن شخصًا وجد مفتاحًا احتياطيًا قديمًا لخزانة مستلزمات المكتب. لم يدخل إلى الخزنة، لكنه فرغ الخزانة تمامًا.
كيف تطور التسريب
كان الباحثان على السلسلة زاك إكس بي تي وبوبل مابس أول من أشار إلى النشاط المشبوه في 22 مايو. وقد قُدّرت الخسائر في البداية بحوالي 520,000 دولار، لكن هذا الرقم ارتفع إلى حوالي 700,000 دولار مع تتبع الباحثين للأموال المسروقة عبر عناوين متعددة وتبادلات وخلطات.
تحرك المهاجم بسرعة، وسحَب 5,000 رمز POL كل 30 ثانية في المراحل المبكرة. هذا النوع من الإيقاع المنهجي يشير إلى أتمتة، وليس شخصًا ينقر بجنون على الأزرار.
تم اختراق المحفظة المُخترقة، وهي عنوان إداري قديم استُخدم حصريًا لتوزيع مكافآت تفاعل المستخدمين. باللغة الإنجليزية: كانت محفظة تعبئة تُموّل الحوافز الترويجية، وليست خزنة تحتفظ بضمانات المتداولين أو أموال التسوية السوقية.
أسفرت الجهود لتأليف الأصول عن نتائج جزئية. تم تجميد حوالي 164,000 دولار من جزء قدره 573,000 دولار، مما يعني أن الغالبية العظمى من الأموال المسروقة قد تم غسلها بالفعل عبر البورصات وخدمات الخلط قبل أن يكون التدخل ممكنًا.
كان المفتاح نفسه عمره ست سنوات. للسياق، ست سنوات في البنية التحتية للعملات المشفرة تعادل تقريبًا تشغيل نظام أمان بنك على ويندوز إكس بي. يشير عمر المفتاح إلى ثغرة أمنية شائعة ولكن يمكن تجنبها: حيث تتجاوز المنظمات ممارسات الأمان في مراحلها المبكرة ولكنها تنسى التخلص من بيانات الاعتماد القديمة.
رد Polymarket وما ظل آمنًا
انتقل فريق تطوير Polymarket لطمأنة المستخدمين على الفور، موضحًا أن أموال المستخدمين والعقود الذكية وأنظمة التداول لم تتأثر. واستمرت العمليات الأساسية للمنصة، بما في ذلك إنشاء الأسواق والتجارة والتسوية، دون انقطاع.
تم تقييد الاختراق بالكامل على محفظة توزيع المكافآت. لم يتم التلاعب بأي نتائج سوقية. لم يتم لمس أي أرصدة مستخدمين.
هذا الفرق مهم. ظهرت Polymarket كواحدة من أكثر أسواق التنبؤ بروزًا في عالم العملات المشفرة، وجذبت اهتمامًا كبيرًا خلال الأحداث السياسية ودورات الأخبار الكبرى. أي خرق يُ compromise أموال المستخدمين أو سلامة السوق سيكون قصة مختلفة تمامًا، يمكن أن تُضعف نموذج الثقة بأكمله لأسواق التنبؤ اللامركزية.
قالت الشركة إنها تجري تحقيقًا شاملًا في الحادث. سيكون من المهم متابعة ما إذا كان هذا التحقيق سيؤدي إلى الكشف العلني عن كيفية تخزين المفتاح، ومن كان لديه وصول إليه، وما هي سياسات التناوب (أو غيابها) التي كانت معمولًا بها.
نمط مألوف في أمن العملات المشفرة
هذا ليس المرة الأولى التي تكون فيها مفتاح إداري قديم هو الضعف الأكبر. تواجه صناعة التشفير مشكلة متكررة تتعلق بالبنية التحتية القديمة. تطلق المشاريع بفريق صغير، وتُنشئ مفاتيح لمحافظ تشغيلية مختلفة، ثم تتوسع بسرعة دون مراجعة هذه البيانات الائتمانية المبكرة.
لم يكن متجه الهجوم هنا عيبًا في العقد الذكي، ولا استغلالًا لقرض فوري، ولا تلاعبًا معقدًا في DeFi. بل كان مفتاحًا خاصًا كان ينبغي تغييره أو إيقافه منذ سنوات. غالبًا ما تكون الاستغلالات الأبسط هي الأكثر ضررًا، بالضبط لأنها تلك التي لا يفكر أحد في التحقق منها.
لقد تعرضت مشاريع أخرى لحوادث مشابهة في الماضي. تمثل المحافظ الساخنة، ومفاتيح الإدارة، وعناوين النشر من الأيام الأولى للمشروع سطحًا مستمرًا للمهاجمين. بمجرد اختراق المفتاح الخاص، سواء من خلال التصيد الاحتيالي أو البرمجيات الخبيثة أو أحد الموظفين الداخليين، لا توجد آلية على السلسلة لإيقاف حامل المفتاح من تنفيذ المعاملات.
محفظات التوقيع المتعدد، ووحدات الأمان الهاردويرية، وتدوير المفاتيح بانتظام هي جميعها تدابير وقائية قياسية. حقيقة أن مفتاحًا واحدًا عمره ست سنوات لا يزال يمتلك صلاحية على محفظة ممولة يشير إلى أن واحدة على الأقل من هذه الممارسات لم تُطبّق لهذا العنوان المحدد.
ما يعنيه ذلك للمستثمرين والمستخدمين
هذا هو الأمر. خسارة 700,000 دولار تعتبر متواضعة نسبيًا مقارنة بمعايير استغلال العملات المشفرة. لكن الضرر السمعي يمكن أن يفوق الرقم المالي، خاصةً بالنسبة لمنصة تعتمد على ثقة المستخدمين للعمل.
أسواق التنبؤ تعتمد بشكل جوهري على الثقة. المستخدمون يخاطرون بأموال حقيقية على نتائج، وهم بحاجة إلى الاعتقاد بأن المنصة التي تدير أموالهم وتحل مراهناتهم تعمل بشكل سليم. حتى خرق محدود لمحفظة المكافآت يثير شكًا في وجود أنظمة قديمة أخرى قد تكون مختبئة في الخلفية.
بالنسبة للتجار الذين يستخدمون Polymarket بنشاط، يبدو أن الخطر الفوري محدود. لم تُنتهك أموال المستخدمين، ولم تكن العقود الذكية للمنصة متورطة في الاختراق. يبدو أن البنية التحتية التشغيلية التي تتعامل مع الإيداعات والسحوبات وتسويقات الأسواق كانت منفصلة تمامًا عن المحفظة المخترقة.
القلق الأكبر هو جوهري. إذا كان Polymarket، أحد أكثر منصات التنبؤ شهرة وتمويلًا، يستخدم مفتاحًا عمره ست سنوات مع وصول نشط إلى الأموال، فكيف يبدو وضع إدارة المفاتيح في المشاريع الأصغر والأقل موارد؟ يجب أن يدفع هذا الحادث المستخدمين إلى طرح أسئلة أصعب حول أمن العمليات لأي منصة يودعون فيها أموالهم، وليس فقط تقارير تدقيق العقود الذكية.
قد تستخدم المنصات المنافسة هذه اللحظة للتمييز من خلال ممارسات الأمان. يمكن أن تصبح سياسات تدوير المفاتيح الشفافة، ومتطلبات التوقيع المتعدد لجميع المحافظ التشغيلية، والمراجعات الأمنية الدورية من قبل أطراف خارجية، معايير أساسية للمنصات التي تسعى لجذب حجم كبير من التداول. في سوق حيث الثقة هي المنتج، فإن المنصة التي تستطيع إثبات مصداقية أقصى درجات الأمان التشغيلي لديها ميزة كبيرة.
حاليًا، يعني التجميد الجزئي لـ 164,000 دولار أن الغالبية العظمى من الأموال المسروقة على الأرجح غير قابلة للاسترداد. الأموال التي نجحت في المرور عبر خلطات وتبادلات هي، من الناحية العملية، مفقودة. ما إذا كان يمكن للسلطات القانونية أو التحريات على السلسلة تتبع الأموال المتبقية إلى طرف محدد لا يزال سؤالًا مفتوحًا، لكن الاحتمالات تقل مع كل انتقال عبر خدمة خلط.