درجة ثقة المجتمعموثّق
تعرّضت منصة بوليماركت لهجوم. أكدت منصة سوق التنبؤات أنها ستعوض المستخدمين بمبلغ 3 ملايين دولار بعد هجوم تصيد استهدف حسابات من خلال ثغرة في خدمة طرف ثالث.
حدث الاختراق عبر الواجهة الأمامية للمنصة، تحديدًا بسبب ضعف في خدمة طرف ثالث تعتمد عليها بوليماركت. استخدم المهاجمون هذا الفتح لخداع المستخدمين لتسليم معلومات حساسة، مما منحهم وصولًا غير مصرح به إلى الحسابات. كانت الخسائر المالية حقيقية ويبدو أنها كانت كبيرة بما يكفي لتحفيز التزام كامل بالتعويض. تقول بوليماركت إن الهجوم تم احتواؤه، رغم أن الشركة لم تكشف عن مزود الطرف الثالث المعني أو كيفية تنفيذ الاستغلال بالضبط. لا تزال هذه التفاصيل غامضة.
كيف تطور الهجوم
من المهم توضيح ما يعنيه “اختراق طرف ثالث” عمليًا. لم يتم استنزاف العقود الذكية الأساسية لبوليماركت – لم يكن هذا اختراقًا على مستوى البروتوكول. استهدف المهاجمون طبقة الواجهة الأمامية، الجزء الذي يراه المستخدمون ويتفاعلون معه. من خلال اختراق خدمة متصلة بتلك الواجهة الأمامية، خلقوا وضعًا حيث تم خداع المستخدمين لتقديم بيانات اعتماد أو تفويض معاملات لم يقصدوا القيام بها.
هذا تكتيك شائع في عالم العملات الرقمية. هجمات الواجهة الأمامية خطيرة لأن المستخدمين يثقون في الواجهة التي اعتادوا استخدامها. لا يبدو أن هناك شيء خطأ. الموقع يحمّل بشكل طبيعي. لكن في مكان ما في البنية، تم العبث بشيء أو استبداله. وبحلول الوقت الذي يلاحظ فيه أي شخص، تكون الحسابات قد استنزفت بالفعل.
تقول بوليماركت إنها تصرفت بسرعة بمجرد اكتشاف الاختراق. أُجريت عمليات تدقيق أمني، وأضيفت طبقات حماية إضافية، وتم تحديد الحسابات المتأثرة. الشركة واثقة من أن الهجوم لن يتكرر – على الأقل ليس من خلال نفس المسار.
خطة تعويض الـ 3 ملايين دولار
ثلاثة ملايين دولار. هذا هو الرقم الإجمالي الذي التزمت به بوليماركت لتعويض المستخدمين الذين فقدوا أموالهم. الشركة تعالج هذه التعويضات حاليًا، رغم أنه لم يتم تحديد جدول زمني لموعد انتهاء آخر دفعة. من غير الواضح ما إذا كان ذلك يعني أيامًا، أسابيع، أو أطول.
بالنسبة للمستخدمين الذين يحاولون استعادة أموالهم، أنشأت بوليماركت قنوات اتصال مخصصة. يمكن لأي شخص متأثر التواصل مباشرة للإبلاغ عن المشكلات المستمرة أو الحصول على الدعم خلال عملية التعويض. يبدو أن المنصة تريد التعامل مع هذا بشكل فردي بدلاً من خلال لقطة شاملة أو إيردروب – رغم أن الآليات لم تُشرح بالكامل بعد.
الالتزام بمبلغ 3 ملايين دولار هو على الأرجح الإشارة الأكثر أهمية هنا. إنه ليس رقمًا صغيرًا، وليس محاطًا بلغة عن “المستخدمين المؤهلين” أو “الخسائر المحققة”. قالت بوليماركت إن المستخدمين المتأثرين سيحصلون على تعويض. نقطة. هذا النوع من الالتزام الواضح نادر نسبيًا بعد حادثة أمان في العملات الرقمية، حيث تقضي الشركات غالبًا أسابيع في الجدال حول ما يعتبر خسارة مغطاة.
إصلاح شامل للأمان ومراجعة الطرف الثالث
بخلاف التعويضات الفورية، تقوم بوليماركت بمراجعة جميع شراكاتها مع الأطراف الثالثة. الهدف هو العثور على نقاط ضعف محتملة أخرى قبل أن يفعل شخص آخر. لم تذكر الشركة الخدمة المحددة التي تم اختراقها – وهو أمر محبط، لأن المنصات الأخرى التي تستخدم نفس المزود قد ترغب في معرفة ذلك.
تلك المراجعة مهمة حقًا. تعمل أسواق التنبؤات مثل بوليماركت عند تقاطع غريب بين التمويل والمعلومات، وتجذب الكثير من الاهتمام – من المستخدمين، من الجهات التنظيمية، ومن المهاجمين على ما يبدو. الوضع الأمني للمنصة يهم أكثر مما قد يكون لبروتوكول تمويل لامركزي (DeFi) أبسط، لأن قاعدة المستخدمين تميل نحو الأشخاص الذين ليسوا بالضرورة من ذوي الخبرة في العملات الرقمية وقد لا يعرفون كيفية اكتشاف محاولة تصيد.
وهذا هو الجزء الآخر من استجابة بوليماركت: تعليم المستخدمين. تدفع الشركة بإرشادات حول تكتيكات التصيد وتشجع المستخدمين على الإبلاغ عن الأنشطة المشبوهة فورًا. إنه إجراء تفاعلي – ربما كان ينبغي أن يكون محورًا أكبر قبل حدوث هذا – لكنه شيء.
تعمل بوليماركت أيضًا مع خبراء الأمن السيبراني كجزء من الاستجابة الأوسع. لم تُذكر أسماء ولا شركات. لكن التعاون مستمر جنبًا إلى جنب مع التحقيق الداخلي.
تواصل المنصة التأكيد على الشفافية. يحصل المستخدمون على تحديثات حول التحقيق، وتقول بوليماركت إن المزيد من التفاصيل ستأتي مع استمرار التحقيق. ما إذا كان ذلك يعني تقريرًا كاملاً مع تفاصيل تقنية أو مجرد تطمينات عامة يبقى أن نرى.
ما ليس موضع شك: يتم إعادة الأموال. تم احتواء الهجوم. والخدمة الطرف الثالث التي تسببت في كل هذا تخضع لفحص دقيق من فريق أمان بوليماركت حاليًا.
تقول الشركة إن أموال المستخدمين آمنة في المستقبل. عملية تعويض 3 ملايين دولار جارية.
الأسئلة الشائعة
ما الذي تسبب في هجوم التصيد على بوليماركت؟
سمحت ثغرة في خدمة طرف ثالث متصلة بالواجهة الأمامية لبوليماركت للمهاجمين بالحصول على وصول غير مصرح به إلى حسابات المستخدمين وسرقة الأموال.
كم تدفع بوليماركت للمستخدمين المتأثرين؟
التزمت بوليماركت بتعويض إجمالي قدره 3 ملايين دولار للمستخدمين الذين فقدوا أموالهم في الهجوم.
