تفاصيل اختراق عقد Polymarket على Polygon
أفاد المحقق على السلسلة ZachXBT بحدوث عملية استغلال أمني استهدفت عقد Polymarket الخاص بـ UMA CTF Adapter على شبكة Polygon، ما أدى إلى سحب أكثر من 520 ألف دولار من الأصول المرتبطة بالعقد، معظمها من عملات POL وUSDC.e.
وتشير البيانات إلى أن بعض التقديرات رفعت إجمالي المبالغ المسروقة إلى أكثر من 600 ألف دولار مع استمرار تتبع حركة الأموال عبر المحافظ المختلفة.
آلية تنفيذ الهجوم
اعتمد المهاجم على عمليات سحب متكررة من المحافظ المتأثرة، حيث تم رصد تحويلات متتالية تقارب 5000 عملة POL كل 30 ثانية من عناوين محددة مرتبطة بالعقد.ثم تم تمرير الأموال عبر سلسلة من المحافظ الوسيطة بهدف إخفاء أثر المعاملات وتقليل إمكانية تتبعها على الشبكة.
سبب الاختراق وليس خللًا في العقد الأساسي
أوضحت التحقيقات الأولية أن المشكلة لم تكن نتيجة ثغرة في الكود الأساسي لعقد UMA CTF Adapter، بل بسبب اختراق مفتاح خاص قديم يعود لمحفظة تشغيل داخلية تابعة لفريق Polymarket.هذا المفتاح كان يمتلك صلاحيات إدارية مرتبطة بعمليات سابقة مثل توزيع المكافآت أو إدارة السيولة، وهو ما سمح للمهاجم بتنفيذ عمليات سحب مشروعة من منظور العقد نفسه.
تأكيد فريق Polymarket
أكد فريق Polymarket الهندسي الحادث بعد تنبيه ZachXBT، مشيرًا إلى أن أرصدة المستخدمين وأنشطة التداول الأساسية لم تتأثر بالاختراق.وأوضح الفريق أن وظيفة العقد المستهدف مرتبطة ببنية الأوركل فقط، وليست جزءًا من نظام التداول الأساسي للمنصة.
تأثير الحادث على الثقة في أسواق التوقعات
أعاد هذا الاختراق فتح النقاش حول مستوى الأمان في منصات أسواق التوقعات، خاصة تلك التي تعتمد على عقود أوركل وتكاملات معقدة بين العقود الذكية.ويرى خبراء الأمن أن الحادث قد يدفع نحو تشديد إجراءات الحماية، بما في ذلك استخدام المحافظ متعددة التوقيع، وتحسين إدارة المفاتيح الخاصة، واعتماد أنظمة مراقبة مستمرة على السلسلة.
دلالات أوسع على أمن DeFi
رغم أن النشاط الأساسي للمنصة لم يتوقف، فإن الحادث يسلط الضوء على نقطة ضعف مهمة في أنظمة التمويل اللامركزي، وهي أن البنية التحتية المساعدة مثل عقود الأوركل قد تتحول إلى هدف رئيسي إذا لم تتم إدارتها بشكل آمن.ويؤكد ذلك الحاجة إلى مراجعات أمنية دورية، وتحديثات مستمرة لإدارة الصلاحيات، وتطبيق معايير أكثر صرامة في التحكم بالوصول داخل أنظمة DeFi.
إرسال تعليق