پلتفرم پیشبینی غیرمتمرکز پالیمارکت (Polymarket) بار دیگر با یک چالش امنیتی جدی روبهرو شده است؛ این رخداد اینبار نه مستقیماً از هسته پروتکل، بلکه از لایه احراز هویت کاربران سرچشمه گرفته است. گزارشهای کاربران نشان میدهد نقص یک سرویس ثالث باعث شده است که دسترسی غیرمجاز به برخی حسابها ممکن شود و سرمایه آنها بدون هیچ تعامل مستقیمی تخلیه گردد.
به گزارش میهن بلاکچین، اهمیت این اتفاق تنها به حجم خسارت محدود نمیشود، بلکه بار دیگر توجهها را به یکی از نقاط حساس اکوسیستم وب ۳ جلب میکند: وابستگی پلتفرمهای غیرمتمرکز به زیرساختهای متمرکز برای ورود کاربران، بهویژه کاربران تازهواردی که از ابزارهای سادهتر ایمیلی استفاده میکنند.
گزارش کاربران پالیمارکت از تخلیه حسابها
از اوایل هفته، کاربران پالیمارکت در شبکههای اجتماعی مانند X و ردیت (Reddit) شروع به انتشار تجربههای مشابهی کردند. یکی از کاربران در ردیت نوشت که صبح با چند اعلان تلاش برای ورود به حساب خود مواجه شده است، در حالی که دستگاه شخصی او آلوده نبوده و هیچ فعالیت مشکوکی در سایر سرویسها مشاهده نکرده است. او پس از ورود به پالیمارکت متوجه شده که تمام پوزیشنهای معاملاتیاش بسته شده و موجودی حسابش نیز تقریباً به صفر رسیده است.
کاربر دیگری نیز روایت مشابهی را مطرح کرده و گفته باوجود فعال بودن احراز هویت دومرحلهای روی ایمیل و بدون کلیک روی هیچ لینک مشکوکی، سرمایه حسابش تخلیه شده است. اشتراک این گزارشها، الگوی ورودهای ناموفق اولیه و سپس انتقال کامل داراییها را نشان میدهد.
بر اساس گفته کاربران در شبکههای اجتماعی، بهنظر میرسد حسابهایی که از طریق مجیک لبز (Magic Labs) در پالیمارکت ثبتنام کرده بودند، بیش از سایرین در معرض این مشکل قرار گرفتهاند. مجیک لبز سرویسی است که امکان ورود با ایمیل را فراهم میکند و بهطور خودکار یک کیف پول غیرامانی اتریومی برای کاربر میسازد؛ این قابلیت، بهویژه میان کاربران تازهوارد کریپتو محبوب است.
همین سادگی تجربه کاربری، در عین حال میتواند به نقطهضعف تبدیل شود؛ زیرا امنیت حساب به لایهای خارج از کنترل مستقیم پلتفرم وابسته میشود.
واکنش رسمی پالیمارکت و سابقه تکرارپذیر حوادث امنیتی
پالیمارکت روز سهشنبه در کانال رسمی دیسکورد (Discord) خود وقوع این رخداد امنیتی را تأیید کرد. این پلتفرم اعلام کرد یک نقص امنیتی که توسط یکی از ارائهدهندگان احراز هویت ثالث ایجاد شده بود، شناسایی و برطرف شده و تنها تعداد محدودی از کاربران را تحت تأثیر قرار داده است.
با این حال، پالیمارکت جزئیاتی درباره تعداد حسابهای آسیبدیده، میزان داراییهای بهسرقترفته یا نام سرویس ثالث ارائه نکرد. این پلتفرم تأکید کرده است که در حال حاضر هیچ ریسک فعالی در کار نیست و با کاربران آسیبدیده برای پیگیری موضوع تماس گرفته خواهد شد.
این نخستین بار نیست که پالیمارکت با چنین مسئلهای مواجه میشود. در سپتامبر ۲۰۲۴ نیز کاربرانی که از طریق حسابهای گوگل وارد شده بودند، گزارشهایی از تخلیه کیف پول ارائه دادند. در آن مورد، مهاجمان از فراخوانیهای موسوم به «پراکسی» برای انتقال USDC به آدرسهای فیشینگ استفاده کرده بودند و بررسیها نیز آن رخداد را به یک ارائهدهنده احراز هویت ثالث مرتبط دانست.
علاوه بر این، ماه گذشته یک کمپین فیشینگ که از بخش نظرات پالیمارکت سوءاستفاده میکرد، منجر به سرقت بیش از ۵۰۰,۰۰۰ دلار از کاربران شد. در آن حمله، لینکهای جعلی با ظاهر عادی منتشر میشد و کاربران را به صفحات ورود ایمیلی تقلبی هدایت میکرد.
در مجموع، تکرار چنین رخدادهایی بار دیگر این پرسش را برجسته میکند که تا چه اندازه میتوان میان سهولت ورود کاربران و امنیت واقعی در پلتفرمهای غیرمتمرکز توازن برقرار کرد؛ بهویژه زمانی که بخش مهمی از تجربه کاربری به زیرساختهایی بیرون از بلاکچین واگذار میشود.
