الافتتاحية
في 14 يونيو 2026، أكدت Polymarket وقوع اختراق في محفظة داخلية أثر على نظام مكافآتها التشغيلية. وقد تم رصد الاختراق لأول مرة من خلال شركة تحليلات السلاسل Bubblemaps، وتضمن تحويلات آلية مشبوهة من محفظة مرتبطة بتوزيع المكافآت على المنصة. أوضحت Polymarket أن أموال المستخدمين لا تزال في مأمن، وأن الحادث يعود إلى اختراق مفتاح خاص وليس إلى أي خلل في العقود الذكية الأساسية للمنصة. وتمثل هذه الفروق أهمية حاسمة: إن ثغرة في العقد الذكي كانت ستعرض كل دولار على المنصة للخطر، بينما يعني اختراق محفظة تشغيلية مشكلة محدودة النطاق. ويُظهر هذا الحادث كيف تتعامل أسواق التنبؤ الحديثة مع إخفاقات الأمان، وكيف تحدد الاختيارات المعمارية حجم الضرر عند وقوع الاختراقات.
الاكتشاف: تنبيهات Bubblemaps وخروج الأموال تلقائياً
جاءت الإشارة العامة الأولى من Bubblemaps، أداة مرئية على السلسلة تراقب عنقود المحافظ وتدفقات الرموز عبر شبكات متعددة. وقد كشفت منظومة التنبيه الآلي لديهم عن نمط من عمليات السحب من عنوان معروف مرتبط بـ Polymarket على شبكة Polygon، ما أدى إلى تدقيق فوري من جانب مجتمع أمني أوسع في عالم العملات المشفرة.
خلال ساعات، راح باحثون مستقلون يؤكدون النتيجة. إذ تم تفريغ المحفظة بشكل منهجي عبر سلسلة من معاملات متطابقة، كان كل منها ينقل مبلغاً ثابتاً من رموز POL ضمن فترات منتظمة. وجرى هذا بدقة ميكانيكية تشير إلى تنفيذ آلي.
التعرف على النمط: تحويلات متكررة بقيمة 5,000 POL
نفّذ المهاجم تحويلات بالضبط 5,000 POL تقريباً كل 12 دقيقة على مدار عدة ساعات. وتُوزّع هذه الطريقة تدريجياً عملية الاستخراج عبر عشرات المعاملات الأصغر بدلاً من معاملة كبيرة واحدة كانت ستؤدي إلى تنبيه سريع.
عندما رفعت Bubblemaps حالة الإنذار، كانت حوالى 230,000 POL قد غادرت المحفظة بالفعل (بقيمة تقارب 115,000 دولار في ذلك الوقت). وتشير تجانس المبالغ وتوقيتها بقوة إلى وجود سكربت أو بوت يتولى عملية الاستخراج.
تتبع عنوان المهاجم على شبكة Polygon
سرعان ما تتبّع المحققون على السلسلة عنوان الاستلام. لم يكن لدى عنوان المهاجم أي سجل معاملات سابق قبل وقوع الحادث، وهو أمر معتاد بالنسبة لمحافظ تم توليدها حديثاً وتُستخدم في حالات الاستغلال. وبدأت شركات الأدلة الجنائية على البلوك تشين، بما في ذلك Chainalysis وArkham Intelligence، وسم العناوين المرتبطة خلال 24 ساعة.
بيان Polymarket الرسمي: اختراق للمحفظة الداخلية
جاء رد Polymarket بعد نحو ست ساعات من تنبيه Bubblemaps. نشرت المنصة بياناً على X (المعروفة سابقاً باسم Twitter) ومدونتها الرسمية تؤكدان وقوع الاختراق. وأشار البيان صراحةً إلى عدم تأثر أي أرصدة للمستخدمين أو مراكز في الأسواق أو آليات التسوية. ووصفت Polymarket الحادث بأنه "اختراق مفتاح خاص لمحفظة تشغيلية داخلية".
تسرب مفتاح خاص مقابل ثغرة في العقد الذكي
تعني ثغرة في العقد الذكي أن الكود الذي يحكم الوظائف الأساسية للمنصة يحتوي على خلل يمكن للمهاجم استغلاله. أما اختراق المفتاح الخاص فيعني أن شخصاً ما حصل على وصول إلى المفتاح التشفيري الذي يتحكم في محفظة بعينها. وقد عملت العقود الذكية الخاصة بالمنصة كما صُممت تماماً؛ المشكلة كانت أن طرفاً غير مخول حصل على بيانات اعتماد عنوان واحد محدد.
وبحسب آخر تدقيق للعقود الذكية أجراه Trail of Bits في مطلع 2026، لم يتم العثور على أي ثغرات حرجة. وتؤكد نتائج هذا التدقيق سلامة الكود الذي يحكم أموال المستخدمين.
دور المحفظة التشغيلية في مدفوعات المكافآت
كانت المحفظة المخترقة تؤدي وظيفة محددة: توزيع مكافآت تعدين السيولة والحوافز الترويجية على المتداولين النشطين. وكانت تحتوي على رموز POL المخصصة لهذه البرامج، وليس USDC أو غيره من العملات المستقرة المستخدمة في المراكز داخل السوق.
عملت هذه المحفظة كمحفظة ساخنة (hot wallet)، أي إن مفتاحها الخاص كان محفوظاً بطريقة تسمح بمعاملات آلية ومتكررة. تمكّن المحافظ الساخنة من السرعة والأتمتة لكنها تحمل مخاطر أعلى لأن مفاتيحها متاحة لأنظمة متصلة بالإنترنت.
تقييم الأثر والطمأنة بشأن سلامة المستخدم
كان الضرر المالي من هذا الحادث محدوداً نسبياً. تمثل قيمة POL المسروقة، والتي تقارب 115,000 دولار، جزءاً صغيراً من القيمة الإجمالية المقفلة في Polymarket، والتي تجاوزت 480 مليون دولار وقت وقوع الاختراق. ولم تتأثر أحجام التداول اليومية، ولم يتم تعليق أي أسواق أو تعطيلها.
عزل ودائع المستخدمين وتسويات الأسواق
تُحفظ أموال المستخدمين في Polymarket داخل عقود ذكية على Polygon، تُدار عبر كود البروتوكول وليس عبر أي مفتاح خاص منفرد. وتُنفذ الإيداعات والسحوبات وتسويات الأسواق جميعها من خلال هذه العقود. ولم تكن للمحفظة التشغيلية المخترقة أي صلاحية على هذه الوظائف.
لم تستطع المحفظة التشغيلية إرسال سوى POL الخاصة بالمكافآت؛ ولم يكن بوسعها التفاعل مع أرصدة المستخدمين أو تعديل معلمات السوق أو تفعيل آليات التسوية.
الحالة الحالية لعمليات المنصة والسيولة
اعتباراً من وقت كتابة هذا التقرير، تعمل Polymarket بكامل طاقتها. تم إيقاف توزيعات المكافآت مؤقتاً بينما قامت الفريق بتدوير المفاتيح ونشر محفظة بديلة. وأكدت المنصة أن المكافآت المستحقة غير المدفوعة للمستخدمين سيتم الوفاء بها من تخصيص خزينة منفصل.
ظلت السيولة عبر الأسواق الرئيسية، بما في ذلك أسواق التنبؤ السياسية في الولايات المتحدة والعقود الخاصة بالأحداث العالمية، مستقرة. ولم يحدث ارتفاع ملحوظ في عمليات السحب خلال الساعات 48 التي تلت الإعلان.
دلالات الأمان على أسواق التنبؤ اللامركزية
يثير هذا الاختراق أسئلة حول كيفية إدارة أسواق التنبؤ للتوتر بين اللامركزية والسهولة التشغيلية. تعمل Polymarket كمنظومة هجينة: إذ تعمل آليات السوق الأساسية عبر عقود ذكية، بينما تعتمد الوظائف الداعمة على بنية تحتية أكثر تقليدية ومركزية.
مخاطر المحافظ التشغيلية المركزية
أي محفظة يتم التحكم بها عبر مفتاح خاص واحد تُعد هدفاً. وتشمل مسارات الهجوم الشائعة تعرّض أجهزة المطورين للاختراق أو البيئات السحابية التي تُخزن فيها المفاتيح، وهجمات التصيد التي تستهدف أعضاء الفريق الذين لديهم وصول إلى المحافظ، والتهديدات الداخلية، وهجمات سلسلة التوريد على برمجيات إدارة المفاتيح.
لم تُنسب حادثة Polymarket بعد إلى مسار بعينه، رغم أن المنصة ذكرت أن التحقيق جارٍ بمساعدة شركات أمن خارجية.
أفضل الممارسات لتخفيف مخاطر التعرض للمحافظ الساخنة
يمكن لعدة ممارسات تقليل خطر وأثر اختراق المحافظ الساخنة:
- استخدام محافظ متعددة التوقيع (multisig) لأي عنوان يحمل قيمة كبيرة، حتى لو كانت تشغيلية
- تطبيق حدود للإنفاق تحدد الحد الأقصى للمبلغ الذي يمكن لأي معاملة واحدة أو فترة زمنية نقلُه
- تدوير المفاتيح بشكل منتظم وبعد أي تغييرات في الموظفين
- تخزين مفاتيح المحفظة الساخنة في وحدات أمن الأجهزة (hardware security modules) بدل الحلول البرمجية
- مراقبة التدفقات الخارجة في الوقت الفعلي مع تنبيهات آلية مُعايرة لاكتشاف الأنماط غير المعتادة
أشارت Polymarket إلى أنها ستعتمد عدداً من هذه الإجراءات في محفظتها التشغيلية البديلة، بما في ذلك متطلبات multisig وحدود صرف لكل معاملة.
المراقبة المستمرة وخطوات المعالجة المستقبلية
تعهدت Polymarket بنشر تقرير شامل لما حدث بعد وقوع الحادث (post-mortem) خلال 30 يوماً، يتضمن السبب الجذري لتسرب المفتاح، تسلسلاً زمنياً مفصلاً، وخطوات المعالجة المحددة التي سيتم تنفيذها.
كان رد المنصة شفافاً إلى حد كبير، ما يضع سابقة إيجابية. ومع تنافس منصات مثل Polymarket وKalshi على حصة السوق، ستؤثر حوادث الأمان بشكل متزايد في ثقة المستخدمين وفي التصورات التنظيمية. ويمكن لتعاملٍ سليم مع اختراق—مع إفصاح سريع، وتواصل واضح، وإثبات احتواء الضرر—أن يعزز مصداقية المنصة.
