مستخدم Polymarket يخسر أكثر من 2 مليون دولار في هجوم التصيد؛ تفاصيل نائب الرئيس عن الانقضاء الأمني

أكد نائب رئيس الشركة للشؤون الهندسية، جوش ستيفنز، على منصة التواصل الاجتماعي X، أن أحد مستخدمي منصة سوق التنبؤ اللامركزي Polymarket قد خسر أكثر من مليوني دولار في هجوم تصيد احتيالي مستهدف. ويؤكد الحادث، الذي وقع مؤخرًا، على وجود ثغرات أمنية مستمرة داخل النظام البيئي للعملات المشفرة، لا سيما حول طرق مصادقة المحفظة.

كيف تكشف الهجوم

وفقًا لستيفنز، تم توجيه الضحية إلى صفحة ويب احتيالية تحاكي بشكل وثيق واجهة Polymarket المشروعة. قام المهاجم، بعد أن أنشأ المجال المزيف، بخداع المستخدم لإدخال كلمة مرور لمرة واحدة (OTP) لمحفظة Magic Link الخاصة به. محافظ Magic Link هي نوع من المحافظ البسيطة القائمة على البريد الإلكتروني والتي تتيح الوصول عبر رابط فريد يتم إرساله إلى عنوان البريد الإلكتروني المسجل للمستخدم. بمجرد اختراق OTP، تمكن المتسلل من الوصول الفوري وسحب الأموال بسرعة.

وشدد ستيفنز على أن الاختراق لم يكن فشلًا لمنصة Polymarket الأساسية، بل كان نتيجة لتفاعل المستخدم مع موقع ضار تابع لجهة خارجية. وذكر أن Polymarket تعمل الآن بنشاط مع المستخدم المتأثر والعديد من بورصات العملات المشفرة في محاولة لتجميد الأصول المسروقة وربما استعادتها.

الاستجابة الفورية والتحسينات الأمنية المخطط لها

في بيانه العام، حث ستيفنز جميع مستخدمي Polymarket على توخي الحذر الشديد عند الانتقال إلى نطاقات غير تابعة لـ Polymarket والتحقق من عناوين URL لمواقع الويب قبل إدخال أي معلومات حساسة. وكشف أيضًا أن الشركة تقوم داخليًا بتقييم إدخال طبقات أمان إضافية، مثل المصادقة متعددة العوامل (MFA)، لتوفير حماية أقوى لحسابات المستخدمين.

أعاد الحادث إشعال المناقشات داخل مجتمع العملات المشفرة حول المفاضلات بين راحة المستخدم والأمان. تعرضت محافظ Magic Link، على الرغم من سهولة استخدامها، لانتقادات بسبب اعتمادها على أمان البريد الإلكتروني، والذي يمكن أن يكون نقطة فشل واحدة في سيناريوهات التصيد الاحتيالي.

آثار أوسع على مستخدمي العملات المشفرة

يعد هذا الهجوم بمثابة تذكير صارخ بأن التصيد الاحتيالي لا يزال أحد أكثر التهديدات فعالية وضررًا في مجال الأصول الرقمية. مع تزايد شعبية المنصات اللامركزية، يزداد أيضًا تعقيد هجمات الهندسة الاجتماعية التي تستهدف مستخدميها. تسلط خسارة أكثر من 2 مليون دولار في حادثة واحدة الضوء على الحاجة الملحة إلى ترقيات الأمان على مستوى النظام الأساسي وتثقيف المستخدم حول تحديد محاولات التصيد الاحتيالي وتجنبها.

بالنسبة للصناعة الأوسع، قد يؤدي هذا الحدث إلى تسريع اعتماد أساليب مصادقة أكثر قوة، مثل مفاتيح الأمان القائمة على الأجهزة أو التحقق البيومتري، عبر التطبيقات اللامركزية.

الاستنتاج

يمثل هجوم التصيد الاحتيالي الذي تبلغ قيمته مليوني دولار على أحد مستخدمي Polymarket خسارة مالية كبيرة وحادثًا أمنيًا خطيرًا للمنصة. وبينما يتعاون الفريق الهندسي في Polymarket مع الضحية والبورصات لتتبع الأموال، دفع هذا الحدث الشركة إلى التفكير في تنفيذ مصادقة متعددة العوامل. يُنصح المستخدمون بالبقاء يقظين والتحقق من صحة النطاق وتجنب إدخال بيانات الاعتماد على مواقع الويب التي لم يتم التحقق منها.

الأسئلة الشائعة

س1: ما هي محفظة Magic Link؟ محفظة Magic Link هي نوع من محافظ العملات المشفرة التي تستخدم رابطًا فريدًا وحساسًا للوقت يتم إرساله إلى البريد الإلكتروني للمستخدم لمنح حق الوصول. لقد تم تصميمه من أجل البساطة ولكنه قد يكون عرضة للخطر إذا تمكن المهاجم من الوصول إلى البريد الإلكتروني للمستخدم أو خدعه لإدخال كلمة مرور لمرة واحدة على موقع مزيف.

السؤال الثاني: هل يمكن استرداد الأموال المسروقة؟ تتعاون شركة Polymarket بشكل نشط مع الضحية والعديد من بورصات العملات المشفرة في محاولة لتجميد الأموال المسروقة. ومع ذلك، يعتمد الاسترداد على سرعة الاستجابة وما إذا كان قد تم نقل الأموال إلى محافظ أخرى أو تحويلها إلى أصول أخرى.

س3: ما هي الإجراءات الأمنية التي تخطط Polymarket لإضافتها؟ وفقًا لجوش ستيفنز، تدرس Polymarket داخليًا تقديم المصادقة متعددة العوامل (MFA) لتوفير طبقة إضافية من الأمان تتجاوز نظام Magic Link الحالي القائم على البريد الإلكتروني. ولم يتم الإعلان عن جدول زمني للتنفيذ حتى الآن.