كيف تصبح التحقق من طرف ثالث الحلقة الضعيفة في منصات التشفير: مادة تعليمية من Polymarket

قطاع التطبيقات اللامركزية يعتمد على سهولة دخول المبتدئين. لتحقيق ذلك، تقوم العديد من المنصات بدمج موفري مصادقة ومحافظ خارجيين. مثل هذه البنية المعمارية تسرع عملية التسجيل، لكنها في الوقت ذاته تخلق اتجاهات جديدة للهجمات. الأحداث الأخيرة على Polymarket تظهر كيف أن حتى البروتوكولات المحمية قد تكون عرضة للثغرات على مستوى أنظمة التشغيل الخاصة بالدخول.

من الحوادث السابقة إلى أزمة ديسمبر: نمط في النظام

Polymarket ليست المرة الأولى التي تواجه فيها مشاكل أمنية على مستوى الدخول. في سبتمبر 2024، أبلغ المستخدمون عن تحويلات غير مصرح بها لـ USDC عبر استغلال مصادقة Google. استخدم المهاجمون استدعاءات دوال “proxy” لإعادة توجيه الأموال إلى عناوين تصيد. حينها، اعتبرت المنصة الحادث هجومًا موجهًا على خدمة التحقق من الهوية من طرف ثالث.

في نوفمبر 2025، جاء موجة أخرى — حيث وضع المحتالون روابط مخادعة في التعليقات على المنصة، موجهين المستخدمين إلى صفحات مزورة لسرقة بيانات البريد الإلكتروني. تجاوزت الخسائر 500,000 دولار. وأشار ذلك إلى مشكلة نظامية كانت تنتشر ليس فقط في التقنية، بل أيضًا في السلوكيات.

في 24 ديسمبر 2025، أعلنت Polymarket عن تدابير أمنية جديدة تتعلق مرة أخرى بالمصادقة من طرف ثالث. تمكن المهاجمون من الوصول إلى عدد محدود من الحسابات باستخدام ثغرة في خدمة الدخول. لم تذكر الشركة مزود الخدمة المحدد، لكن مستخدمين على Reddit وDiscord أشاروا إلى Magic Labs كنقطة دخول شائعة عند التسجيل.

آلية الهجوم: متى تصبح محافظ البريد الإلكتروني هدفًا

يختار مستخدمو Polymarket بشكل متزايد الدخول عبر “رابط سحري” — رابط فريد يُرسل إلى البريد الإلكتروني. هذا الأسلوب يجذب المبتدئين الذين لا يرغبون في إدارة الإضافات على المتصفح أو حفظ عبارات seed. موفر محافظ البريد الإلكتروني ينشئ محفظة إيثيريوم غير وصائية تلقائيًا عند التسجيل.

لكن سلسلة الأمان تعتمد على المزود في عدة مراحل حاسمة: التحقق من الدخول، استعادة الوصول، وإدارة الجلسات. إذا تم اختراق أحد هذه المراحل، فإن المحفظة بأكملها تكون معرضة للخطر.

المستخدمون المتضررون وصفوا خسائر مفاجئة في الرصيد دون إشارات واضحة للتأكيد. أخبر أحد المستخدمين عن ثلاث محاولات دخول، ثم انخفض رصيده إلى 0.01 دولار. وذكر آخر أن التحقق الثنائي عبر البريد الإلكتروني لم يمنع التحويل المباشر لـ USDC إلى عناوين يسيطر عليها المهاجمون. وتم إغلاق المواقف على المنصة تلقائيًا دون أمر واضح من المستخدم.

المخاطر النظامية لـ Web3: متى تكون العقود الذكية ليست المشكلة الأساسية

هذا الحدث ينقل التركيز من أمان البروتوكول إلى أمان التكاملات. أكدت Polymarket رسميًا أن البروتوكول الرئيسي لا يزال محميًا. كانت المشكلة مقتصرة على طبقة المصادقة. وقالت الشركة إن الإصلاحات قد تم نشرها، وأن المخاطر الحالية قد تم معالجتها.

ومع ذلك، يثير ذلك أسئلة عميقة حول بنية Web3. تعتمد معظم حلول الانضمام على نقاط دخول مركزية. عندما يكون لمزود واحد للمصادقة ثغرة، فإن المستخدمين من تطبيقات لامركزية متعددة يصبحون معرضين للخطر في آن واحد. ونتيجة لذلك، أصبحت خدمات التحقق من الهوية وإدارة المحافظ من الأطراف الثالثة حلقة حاسمة، وغالبًا ما تكون أضعف حلقة.

بدأ المستخدمون يناقشون بفعالية البدائل. بعضهم يتحول إلى توصيل مباشر للمحافظ للمبالغ الكبيرة، متجنبين الوسطاء. آخرون يشاركون عناوين محافظهم في مواضيع عامة للتحقق من نشاطها الحالي.

دروس مستقبلية للنظام البيئي

لم تنشر Polymarket تحليلًا فنيًا مفصلًا للحادث. تبقى أسئلة حول حجم الأموال المسروقة، وعدد المستخدمين المتضررين، وخطط التعويض غير معروفة. هذا النقص في الشفافية يزيد من عدم اليقين في السوق.

لكن الحادث يسلط الضوء على مشكلة أوسع. في نظام التشفير، غالبًا ما يُعتبر الانضمام أمرًا ثانويًا، ويتركز الاهتمام على العقود الذكية والبروتوكولات. ومع ذلك، فإن نقاط الدخول — الأماكن التي يتفاعل فيها المستخدمون العاديون مع الخدمات اللامركزية — تظهر كمراكز ضعف. بدون إعادة تقييم دور موفري الطرف الثالث وتعزيز معايير أمانهم، ستتكرر حوادث مماثلة.