خسائر بولي ماركت تقفز إلى 3.1 مليون دولار وسط شكوك بشأن التعويضات

تفاقمت خطورة الحادث الأمني الأخير الذي استهدف منصة "بولي ماركت - Polymarket" بعد أن قامت شركة AMLBot المتخصصة في أمن تقنية البلوكتشين بتحديث تقديراتها للخسائر لتصل إلى نحو 3.1 مليون دولار أميركي. ويأتي هذا التقدير المُحدّث بعد أن كانت منصة أسواق التنبؤ قد تعهّدت بتعويض المستخدمين المتضررين بشكل كامل، وذلك عقب اكتشاف استغلال ثغرة أمنية في خدمة طرف ثالث مدمجة ضمن موقعها الإلكتروني.

ورغم تأكيد بولي ماركت أن بنيتها التحتية الأساسية لم تتعرض للاختراق، إلا أن الحادثة تُبرز بوضوح المخاطر المتزايدة المرتبطة بالاعتماد على خدمات برمجية خارجية تتكامل مع التطبيقات اللامركزية.

AMLBot تُحدّث تقديرات الخسائر بعد تطورات التحقيق

وفقًا لأحدث تحقيقات AMLBot، تمكن المهاجمون من سرقة ما يقارب 3.1 مليون دولار أميركي من عملة PUSD عبر 11 محفظة مستخدم. وقد جرى تحويل الأموال أولًا من شبكة Polygon قبل أن يتم نقلها بسرعة إلى شبكة إيثيريوم، وهي طريقة شائعة يستخدمها المهاجمون لتشتيت أثر المعاملات وتعقيد تتبع الأصول.

ويمثل هذا الرقم زيادة عن التقديرات السابقة التي كانت تُشير إلى خسائر بنحو 2.94 مليون دولار. كما كانت شركة Specter Analyst قد وصفت الهجوم في البداية بأنه حملة تصيّد متقدمة استهدفت ما لا يقل عن 11 محفظة تحتوي على عملة PUSD.

وتشير هذه التحديثات إلى أن حجم الخسائر الفعلي لا يتضح عادة إلا بعد تقدم عمليات تحليل تتبع المعاملات على شبكات البلوكتشين، مما يعكس طبيعة التعقيد في التحقيقات الجنائية الرقمية.

اختراق من طرف ثالث مكّن الهجوم عبر واجهة المستخدم

في بيان صدر بتاريخ 25 يونيو، أوضحت Polymarket أن سبب الحادثة يعود إلى اختراق لدى مُزوّد خدمة خارجي، وليس إلى بروتوكولها الأساسي. ووفقًا للمنصة، سمحت هذه الثغرة بحقن شيفرة جافا سكريبت خبيثة داخل واجهة المستخدم، ما أدى إلى تعريض مجموعة محدودة من المستخدمين لمحاولات احتيال مرتبطة بمحافظهم الرقمية.

وبمجرد اكتشاف المشكلة، تم احتواء الثغرة وإزالة المكوّن المصاب بشكل فوري، مع التأكيد على إيقاف الشيفرة الضارة بالكامل.

كما شددت المنصة على أنها تتواصل مع جميع المستخدمين المتضررين، وأنها ستقوم بتعويضهم بشكل كامل، في محاولة لاحتواء آثار الحادثة وتعزيز الثقة.

هجمات الواجهة الأمامية

على عكس الهجمات التي تستهدف العقود الذكية مباشرة، يتركز هذا النوع من الهجمات على واجهة الموقع نفسها. إذ تعمل هجمات الواجهة الأمامية على التلاعب بالشيفرة المعروضة داخل متصفح المستخدم، دون المساس ببروتوكول البلوكتشين الأساسي.

ونتيجة لذلك، قد يبدو الموقع طبيعيًا، بينما يقوم المستخدم دون علمه بالموافقة على معاملات ضارة داخل محفظته الرقمية، معتقدًا أنه يتفاعل مع منصة آمنة.

وقد أفادت شركة PeckShield لأمن البلوكتشين أن الأموال المسروقة تم تحويلها من شبكة Polygon إلى إيثيريوم، قبل أن تُحوّل إلى ما يقارب 1,893 ETH، كما تم تجميعها لاحقًا في محفظة واحدة بعد انتهاء حملة التصيّد.

وتُبرز هذه الحادثة كيف يمكن للهجمات الخادعة أن تستغل ثقة المستخدم في واجهة مألوفة بدلًا من استهداف البنية الأساسية للبلوكتشين.

تزايد المخاطر المرتبطة بالاعتماد على أطراف خارجية

أعاد هذا الاختراق تسليط الضوء على أهمية إدارة مخاطر الاعتماد على مزودي الخدمات الخارجيين. فحتى في حال بقاء العقود الذكية آمنة وغير متأثرة، قد يؤدي أي خلل في مكتبات خارجية أو أدوات تحليل أو مكونات واجهة الموقع إلى فتح ثغرات أمنية خطيرة.

ومع تزايد تعقيد التطبيقات اللامركزية، أصبحت حماية هذه الطبقات الخارجية لا تقل أهمية عن تدقيق العقود الذكية نفسها، بل قد تكون في بعض الحالات أكثر حساسية.

بولي ماركت وسلسلة من الحوادث الأمنية السابقة

لا يُعد هذا الحادث الأول الذي تواجهه بولي ماركت، إذ سبق وأن تعرضت المنصة في مارس الماضي لتحذيرات من المحقق على البلوكتشين ZachXBT بشأن عملية سحب غير مصرح بها تجاوزت 520 ألف دولار من عقود على شبكة Polygon، قبل أن تؤكد المنصة لاحقًا أن أموال المستخدمين لم تتأثر.

كما شهدت المنصة في ديسمبر حادثة أخرى تمثلت في بلاغات عن تسجيلات دخول مشبوهة وفقدان بعض الأموال عبر مجتمع Discord، ما زاد من مستوى التدقيق الأمني حولها.

وتشير تقارير سابقة إلى أن هذا الهجوم الأخير كان من بين 89 حادثة أمنية مسجلة في قطاع العملات الرقمية خلال الربع الثاني، وهو ما جعله أحد أكثر الفترات نشاطًا من حيث الاختراقات.

تصاعد الضغط التنظيمي في الولايات المتحدة

يتزامن هذا الحادث مع تصاعد الاهتمام التنظيمي الأميركي بمنصة بولي ماركت. إذ أفادت تقارير بأن عضوي مجلس الشيوخ الأميركي آدم شيف وجون كورتيس طلبا من لجنة تداول السلع الآجلة (CFTC) مراجعة مزاعم تتعلق بممارسات تسويقية غير شفافة.

وتشمل هذه المزاعم استخدام منصات تداول افتراضية أو معاملات مُصطنعة وحملات مؤثرين غير معلنة، مع التساؤل حول مدى قدرة الجهات التنظيمية على مراقبة أسواق التنبؤ بشكل فعّال.

وفي السياق ذاته، لا تزال بولي ماركت في نزاع قانوني مع "كالشي" بشأن عقود الأحداث الرياضية، حيث تعتبرها بعض الولايات مراهنات غير مرخصة، بينما تؤكد الجهات الفيدرالية أنها تدخل ضمن إطار المشتقات المالية.

وقد يكون لهذه القضايا تأثير مباشر على مستقبل التنظيم القانوني لأسواق التنبؤ في الولايات المتحدة.

الأمن والتنظيم: مساران يتقاطعان في قطاع الأصول الرقمية

تكشف هذه الحادثة عن اتجاه أوسع في قطاع الأصول الرقمية، حيث لم يعد الأمان يقتصر على العقود الذكية فقط، بل أصبح يشمل واجهات المستخدم، والتكامل مع الجهات الخارجية، وسلوك المستخدم نفسه.

كما أن تزامن هذه الهجمات مع الضغوط التنظيمية المتزايدة يعكس واقعًا جديدًا، حيث تتداخل المخاطر التقنية مع المخاطر القانونية. وفي هذا السياق، قد يُصبح تقييم المنصات في المستقبل مرتبطًا ليس فقط بمتانة بنيتها على شبكة البلوكتشين، بل أيضًا بقدرتها على إدارة المخاطر التشغيلية والاستجابة السريعة للحوادث والحفاظ على الشفافية مع المستخدمين والجهات التنظيمية على حد سواء.