وفقًا لمنشور من Polymarket على X بتاريخ 29 أبريل، اتهم حساب أمان الإنترنت Dark Web Informer منصة تنبؤ لا مركزية Polymarket بالاختراق، مع تسريب أكثر من 300 ألف سجل وأداة استغلال للثغرات إلى منتديات الجرائم الإلكترونية؛ ونفت Polymarket ذلك فورًا في بيان على X، موضحة أن جميع بيانات السلسلة متاحة للعامة ويمكن تدقيقها.
ردّ Polymarket الرسمي
وفقًا لبيان نشرته Polymarket على منصة X بتاريخ 29 أبريل 2026، أفادت المنصة بأن جميع بيانات السلسلة لديها متاحة للعامة ويمكن تدقيقها، وأن أي شخص يمكنه الوصول إليها مجانًا عبر واجهة برمجة تطبيقات عامة (API)، دون أي تكلفة. ووصفت Polymarket هذا التوصيف بأنه «ميزة وليست خللًا (a feature, not a bug)».
كما أشارت Polymarket إلى وجود خطة مكافآت للثغرات بقيمة 5 ملايين دولار على المنصة، وهو ما يتعارض مع ادعاء المهاجم بأن «Polymarket لا توجد لديها خطة مكافآت للثغرات»؛ ووضحت صراحةً أن سلوك استهداف واجهة برمجة التطبيقات العامة (public API) لا يندرج ضمن أهلية المطالبة بالمكافأة.
محتوى مزاعم Dark Web Informer والتفاصيل التقنية
وفقًا لمنشور Dark Web Informer على منصة X بتاريخ 29 أبريل 2026، يدّعي المهاجم «xorcat» أنه تم، عبر نقاط نهاية غير منشورة في واجهتي Gamma وCLOB لدى Polymarket، وتجاوز التصفح عبر الصفحات (pagination)، وبسبب خطأ في إعدادات CORS، تجاوزت هذه القيود، وتم إكمال استخراج البيانات في 27 أبريل 2026. وتتمثل بيانات حجم المزاعم التي كشف عنها Dark Web Informer على النحو التالي:
· إجماليًا أكثر من 300 ألف سجل، وبعد الاستخراج حوالي 750 MB، وبعد الضغط حوالي 8.3 MB
· حوالي 10 آلاف سجل مستخدم فريد يتضمن معلومات تعريف شخصية كاملة (PII)، وتشمل الاسم والاسم المستعار ومحفظة الوكيل والعنوان الأساسي
· 48,536 سجل سوق Gamma يتضمن بيانات وصفية (metadata) كاملة
· أكثر من 250 ألف سجل سوق CLOB نشط يتضمن عناوين FPMM
كما يسرد منشور Dark Web Informer الثغرات التقنية التي يدّعيها المهاجم، بما في ذلك CVE-2025-62718 (تجاوز Axios NO_PROXY، وتقييم CVSS 9.9)، وخطأ في إعدادات CORS لواجهة برمجة تطبيقات CLOB (مصدر wildcard مع credentials=true)، وواجهات برمجة تطبيقات متعددة غير موثّقة.
خلفية خطة مكافآت ثغرات Polymarket
وفقًا لصفحة خطة مكافآت الثغرات الرسمية لدى Polymarket، توجد خطة مكافآت ثغرات بقيمة 5 ملايين دولار، يتم قبول بلاغات الثغرات عبر منصة Spearbit/Cantina، وتشمل ثغرات في العقود الذكية وتطبيقات الويب، مع تقسيم الشدة إلى أربعة مستويات: شديدة، وعالية، ومتوسطة، ومنخفضة. وبحسب شروط الخطة، فإن سلوك استهداف نقاط نهاية واجهة برمجة التطبيقات العامة لا يقع ضمن نطاق أهلية المكافأة.
الأسئلة الشائعة
متى نُشر بيان Polymarket الذي ينفي تسريب البيانات؟ وما هي الفكرة الأساسية؟
وفقًا لبيان Polymarket بتاريخ 29 أبريل 2026 على منصة X، نفت المنصة وقوع تسريب بيانات، وذكرت أن جميع بيانات السلسلة متاحة للعامة ويمكن تدقيقها، ويمكن الوصول إليها مجانًا عبر واجهة برمجة التطبيقات العامة (API)، كما أشارت إلى أن استهداف نقاط نهاية واجهة برمجة التطبيقات العامة لا يندرج ضمن أهلية مكافآت الثغرات.
ما هو حجم بيانات التسريب التي ادّعىها Dark Web Informer، وما تاريخ استخراج البيانات؟
وفقًا لمنشور Dark Web Informer بتاريخ 29 أبريل 2026 على منصة X، يدّعي المهاجم أنه تم استخراج أكثر من 300 ألف سجل في 27 أبريل 2026، بما في ذلك حوالي 10 آلاف سجل مستخدم يتضمن معلومات تعريف شخصية كاملة (PII)، وأكثر من 250 ألف سجل سوق CLOB.
ما حجم خطة مكافآت ثغرات Polymarket؟ وأي منصة تديرها؟
وفقًا لصفحة خطة مكافآت الثغرات الرسمية لدى Polymarket، يبلغ حجم الخطة 5 ملايين دولار، ويتم قبول بلاغات الثغرات عبر منصة Spearbit/Cantina؛ ويقع سلوك استهداف نقاط نهاية واجهة برمجة التطبيقات العامة خارج نطاق أهلية المكافأة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
