أبرز النقاط
- تُخترَق محافظ الكريبتو عبر الأشخاص والأجهزة المحيطة بها، لا عبر البلوكتشين نفسه. فالسلسلة تبقى سليمة بينما ما يستسلم هو المفاتيح أو الجهاز أو انتباه المستخدم.
- معظم الاختراقات تبدأ بهدوء. فبحلول الوقت الذي يرى فيه الضحية معاملة غير مصرّح بها، يكون المهاجم قد حصل عادةً على الوصول منذ فترة.
- أوضح العلامات التحذيرية هي معاملة صادرة لم تُجرِها، وتصريح لا تتذكّر منحه، وإيداعات صغيرة غير متوقّعة من عناوين تبدو مألوفة تقريبًا.
- التعرّف على الاختراق مبكّرًا هو الفرق بين خسارة محفظة واحدة وخسارة كل ما يرتبط بها. فالسرعة أهمّ من أي شيء آخر بمجرّد أن تشتبه في وجود مشكلة.
- الاسترداد ممكن في كثير من الحالات، خاصةً عند اكتشاف السرقة بسرعة وتتبّع الأموال قبل تحويلها أو تمريرها عبر منصّة تداول غير متعاونة.
- تتتبّع Match Systems حوادث المحافظ المخترَقة عبر السلاسل، وتعمل مع منصات التداول وجهات إنفاذ القانون، وقد استردّت أصولًا مسروقة في حالات تتراوح من محافظ فردية إلى سرقات بثمانية أرقام.
في هذه المقالة
- المحفظة هي الهدف، لا البلوكتشين
- كيف تُخترَق المحافظ فعلًا
- كيف تتعرّف على محفظة مخترَقة
- لماذا يلاحظ الضحايا عادةً بعد فوات الأوان
- ماذا تفعل لحظة اشتباهك في اختراق
- الأسئلة الشائعة
المحفظة هي الهدف، لا البلوكتشين
عبارة “اُخترقت محفظتي” لا تعني أبدًا تقريبًا ما يظنّه الناس. فهي نادرًا ما تنطوي على كسر أحد للتشفير الذي يؤمّن البلوكتشين. وفي كل حالة نحقّق فيها تقريبًا، فعلت السلسلة بالضبط ما يُفترض أن تفعله. وما فشل هو المحفظة المحيطة بها: الجهاز الذي يحمل المفاتيح، أو البرنامج الذي وثق به المالك، أو لحظة الانتباه التي كان المهاجم ينتظرها.
وهذا التمييز مهم لأنه يخبرك أين تبحث. فالمحفظة مدير مفاتيح. ومن يتحكّم في المفتاح الخاص يتحكّم في الأموال، وهذا المفتاح يعيش في مكان معرّض للخطر: في تطبيق، أو إضافة متصفّح، أو ملف، أو لقطة شاشة، أو ذاكرة شخص. والمهاجمون لا يهاجمون الرياضيات. بل يهاجمون الأماكن التي يتعرّض فيها المفتاح، وقد أتقنوا ذلك جدًّا.
وفهم كيف يحدث هذا التعرّض، وتعلّم التعرّف على علامات حدوثه بالفعل، هو أكثر مهارة أمنية عملية يمكن لحامل الكريبتو أن يطوّرها.
كيف تُخترَق المحافظ فعلًا
لا توجد طريقة واحدة تسقط بها محفظة. فالحالات التي نراها تتجمّع في حفنة من الأنماط المتكرّرة، ومعظمها لا يمسّ دفاعات البلوكتشين على الإطلاق.
البرمجيات الخبيثة وسارقو المعلومات على الجهاز
برمجيات سرقة المعلومات هي حصان العمل الهادئ في سرقة المحافظ. فبمجرّد وجودها على جهاز، تفحص كل ما له قيمة: كلمات المرور المخزّنة في المتصفّح، وملفات تعريف الجلسة، وملفات المحافظ، وأي ملف نصّي أو لقطة شاشة قد تحتوي على عبارة استرداد. والحجم هو الجزء الذي يستهين به معظم الناس. فوفقًا لتقرير Kaspersky، ارتفعت اكتشافات سارقي المعلومات على أجهزة الحاسوب 59% عالميًا بين 2024 و2025، واُخترق أكثر من مليون حساب مصرفي بهذه الطريقة في عام واحد. وبيانات محافظ الكريبتو هدف أساسي لهذه الأدوات، والضحية عادةً لا تدري أن البرنامج يعمل.
وطريقة التوصيل غالبًا ما تكون شيئًا يبدو غير ضارّ. ففي مارس 2025، حذّر مكتب FBI في دنفر من أن أدوات تحويل الملفات المجانية عبر الإنترنت كانت تُستخدم لتحميل برمجية خبيثة تجمع البيانات الحسّاسة، بما فيها عبارات استرداد الكريبتو وتفاصيل المحافظ. فالأداة تؤدّي المهمّة التي تعلن عنها، ويُحوَّل الملف، وتُثبَّت البرمجية الخبيثة في الخلفية بينما ينتقل المستخدم لغيرها.
تطبيقات المحافظ المزيّفة والإضافات الخبيثة
يبحث مستخدم عن محفظة شهيرة، ويثبّت شيئًا يبدو مطابقًا، ثم إما يُدخِل عبارة استرداد موجودة لـ“استيراد” محفظته أو يثق في عبارة مولَّدة حديثًا يتحكّم فيها المهاجم بالفعل. والواجهة مقنعة لأنها غالبًا نسخة شبه مثالية. والشيء الوحيد المختلف هو من يتلقّى المفاتيح.
تعرّض عبارة الاسترداد
وهذا يستحقّ ذكرًا خاصًّا، لأنه السبب الجذري الأكثر شيوعًا والأصعب في التراجع عنه. فعبارة استرداد مصوّرة للراحة، أو مخزّنة في نسخة احتياطية سحابية، أو مكتوبة في دردشة دعم، أو محفوظة في تطبيق ملاحظات هي عبارة استرداد يمكن سرقتها دون أن يلمس أحد جهازك. وبمجرّد خروجها، لم تعد المحفظة لك، حتى لو لم يتحرّك شيء بعد.
التصاريح والتواقيع الخبيثة
هذه تخترق محفظة دون التقاط المفتاح إطلاقًا. فبتوقيع ما يبدو معاملة روتينية على موقع خبيث، يمكن للمستخدم أن يمنح عقدًا إذنًا دائمًا بتحريك رموزه. والمحفظة نفسها لا تُخترَق أبدًا بالمعنى التقليدي. بل تفعل ببساطة ما صُرّح لها به، أحيانًا بعد أيام من إعطاء التوقيع.
تسميم العناوين
وهذا أذكى الأنماط نفسيًا، لأنه يقلب حذر الضحية ضدّها. فيرسل المهاجم معاملة ضئيلة من عنوان مصمَّم لمحاكاة عنوان تستخدمه الضحية كثيرًا، مطابقًا الأحرف الأولى والأخيرة. ويقع العنوان المسمَّم في سجل المعاملات، وفي المرة التالية التي تنسخ فيها الضحية عنوانًا من ذلك السجل، تنسخ عنوان المهاجم. ففي مايو 2024، خسر حامل نحو 68 مليون دولار من البيتكوين الملفوف بهذه الطريقة، مرسلًا الأموال إلى عنوان شبيه سحبه من سجله الخاص. وقد حقّقت Match Systems في تلك القضية إلى جانب منصّة Cryptex، مستخدمةً بصمات الأجهزة والأدلة السلوكية لتحديد هوية المهاجم وبدء المفاوضات. وخلال نحو أسبوع، أُعيدت الأموال. فالحيلة التقنية كانت بسيطة. أما النفوذ الذي استردّ المال فلم يكن كذلك.
كيف تتعرّف على محفظة مخترَقة
وهذا هو الجزء الذي تتجاوزه معظم أدلة الأمان، وهو الجزء الذي يحسم النتائج. فمعرفة كيف تُخترَق محفظة مفيدة. لكن التعرّف على أن محفظتك قد اُخترقت هو ما يمنحك فرصة للتصرّف في الوقت المناسب.
انتبه لهذه الإشارات:
- معاملة صادرة لم تُصرّح بها. هذه هي القاطعة. فإذا غادرت الأموال محفظتك ولم ترسلها أنت، فالمحفظة مخترَقة، انتهى الأمر. تحقّق منها في مستكشف بلوكتشين بدلًا من الاعتماد فقط على عرض المحفظة نفسه، الذي يمكن لمهاجم متطوّر التلاعب به.
- تصريح لا تتذكّر منحه. فإذا أظهرت قائمة المواقع المتّصلة أو تصاريح الرموز في محفظتك أذونات لعقود لا تعرفها، فتعامل معها كتهديد حيّ. فالتصريح الدائم باب متروك مفتوحًا، ويمكن استخدامه بعد وقت طويل من توقيعك.
- إيداعات صغيرة غير متوقّعة من عناوين شبه مألوفة. فتحويل وارد ضئيل من عنوان يبدو تقريبًا مثل عنوان تثق به هو توقيع محاولة تسميم عناوين. إنه ليس غبارًا غير ضارّ. إنه طُعم مزروع في سجلك.
- سلوك جهازك بشكل مختلف. فتنبيهات مضادّ الفيروسات، وعمليات غير مألوفة، ومتصفّح يعيد التوجيه، أو جهاز يتباطأ بعد تثبيت شيء، كلها قد تشير إلى سارق معلومات يعمل. وهذا بمفرده ليس دليلًا، لكنه مع حيازات كريبتو سبب للتوقّف والتحقّق.
- تنبيهات تسجيل دخول أو إعادة تعيين كلمات مرور لم تُطلقها. فالإشعارات عن وصول من أجهزة غير مألوفة، أو طلبات إعادة تعيين لم تقدّمها قطّ، غالبًا ما تعني أن مهاجمًا يعمل بالفعل عبر حساباتك المتّصلة باتّجاه أموالك.
- هاتف يفقد الإشارة فجأة. فإذا انقطعت خدمة هاتفك دون تفسير وبقيت منقطعة، فتعامل معها كاحتمال تبديل شريحة SIM قيد التنفيذ، خاصةً إذا كنت تستخدم المصادقة عبر الرسائل القصيرة في أي مكان في إعداد الكريبتو لديك.
العلامات التحذيرية في لمحة
| ما تلاحظه | ما يعنيه عادةً |
| معاملة صادرة لم تُجرِها | المحفظة مخترَقة؛ المفتاح أو تصريح في يد شخص آخر |
| تصريح رمز أو موقع متّصل غير مألوف | إذن دائم يمكن لمهاجم استخدامه في أي وقت |
| إيداع ضئيل من عنوان شبه مطابق | طُعم تسميم عناوين مزروع في سجلك |
| جهاز بطيء أو يعيد التوجيه أو موسوم من مضادّ الفيروسات | سارق معلومات محتمل يجمع المفاتيح وبيانات الاعتماد |
| تنبيهات تسجيل دخول أو إعادة تعيين غير متوقّعة | استيلاء على حساب قيد التنفيذ بالفعل |
| هاتف يفقد الإشارة فجأة | احتمال تبديل شريحة SIM يستهدف المصادقة عبر الرسائل القصيرة |
لماذا يلاحظ الضحايا عادةً بعد فوات الأوان
يقول كل ضحية نعمل معه تقريبًا نسخة من الشيء نفسه: لاحظوا أن شيئًا ما بدا غير سليم قبل الخسارة، وأقنعوا أنفسهم بعدم التصرّف حياله. إيداع غريب، أو مطالبة غريبة قليلًا، أو غرابة في الجهاز. فالاختراق غالبًا ما يبدأ قبل تحرّك المال بوقت طويل، ولهذا بالضبط تهمّ الإشارات المبكّرة كثيرًا. فالمهاجم الذي لديه عبارة استردادك قد ينتظر نموّ الرصيد. ومن يحمل تصريحًا قد يجلس عليه حتى يصل رمز عالي القيمة. والفجوة بين الاختراق والسرقة هي النافذة التي لديك، ومعظم الناس يقضونها في طمأنة أنفسهم بأن لا شيء خطأ.
ماذا تفعل لحظة اشتباهك في اختراق
غريزة مواصلة استخدام المحفظة، أو تسجيل الدخول مجدّدًا، أو تحريك الأموال في ذعر تزيد الأمور سوءًا عادةً. والتسلسل الصحيح ضيّق ومحدّد.
- توقّف عن استخدام المحفظة فورًا وافترض أن المفاتيح متعرّضة. فإذا كان لا يزال لديك وصول والمحفظة ليست مستنزَفة بالفعل، فانقل الأصول المتبقّية فقط من جهاز نظيف إلى محفظة جديدة تمامًا لم تلمس مفاتيحها قطّ البيئة المخترَقة. وكن على علم بأنه إذا كانت عبارة الاسترداد مخترَقة، فغالبًا ما يشغّل المهاجمون سكربتات تكنس الأموال الواردة فورًا، لذا ليس هذا ممكنًا دائمًا.
- وثّق الأدلة. سجّل هاش المعاملة غير المصرّح بها، وعنوان استلام المهاجم، والمبالغ، والطوابع الزمنية من مستكشف بلوكتشين. فهذا ما يبدأ منه كل تحقيق.
- تواصل مع شركة تحقيق متخصّصة في أسرع وقت. فاستراتيجية الإبلاغ الصحيحة تعتمد على التفاصيل: أي الأصول أُخذت، وأي السلاسل والخدمات مرّت بها الأموال، وإلى أين تتّجه. وكلما رأت Match Systems التفاصيل أسرع، أمكننا تحليل القضية وتحديد الاستجابة الأكثر فعالية أسرع، بما في ذلك أي السلطات وفرق امتثال منصات التداول ينبغي إشراكها وكيفية توقيت طلب التجميد بينما الأموال لا تزال قابلة للوصول. وإذا كانت الأصول المسروقة تشمل عملات مستقرّة مثل USDT أو USDC، فهذا أهمّ، لأن الجهات المُصدِرة يمكنها تقييد عناوين محدّدة بطلب من جهات إنفاذ القانون، وتُغلَق تلك النافذة بمجرّد تحويل الأموال.
الأسئلة الشائعة
كيف أعرف أن محفظة الكريبتو الخاصة بي قد اُخترقت؟
أوضح علامة هي معاملة صادرة لم تُجرِها، ويمكنك تأكيدها في مستكشف بلوكتشين. ومن الإشارات الأخرى تصاريح رموز لا تعرفها، وإيداعات صغيرة من عناوين تبدو تقريبًا مثل التي تثق بها، وجهاز بدأ يسيء التصرّف بعد تنزيل، وتنبيهات تسجيل دخول أو إعادة تعيين كلمة مرور لم تُطلقها. وأيّ من هذه سبب للتوقّف والتحقيق قبل تحريك أي شيء.
هل يمكن لأحد اختراق محفظتي دون عبارة الاسترداد؟
نعم. التقاط عبارة الاسترداد مسار واحد، لكنه ليس الوحيد. فتصريح أو توقيع خبيث يتيح لمهاجم تحريك رموز معيّنة دون حمل مفتاحك قطّ، والبرمجية الخبيثة على جهازك يمكن أن تغيّر المعاملات أو تجمع بيانات الاعتماد. ولهذا يمكن اختراق محفظة حتى وأنت متأكّد أن لا أحد يملك عبارتك.
هل يُخترَق البلوكتشين نفسه أبدًا؟
نادرًا جدًّا، وليس في الحالات التي يواجهها الأفراد عادةً. فالتشفير الذي يؤمّن البلوكتشينات الكبرى صمد. وما يُخترَق هو المحفظة المحيطة به: الجهاز، أو البرنامج، أو المفاتيح، أو المستخدم. ومعاملة سرقة الكريبتو كفشل للبلوكتشين توجّه دفاعاتك في الاتجاه الخاطئ.
ما هو العنوان المسمَّم ولماذا هو خطير؟
العنوان المسمَّم عنوان يصمّمه مهاجم ليشبه عنوانًا تستخدمه، مطابقًا الأحرف الأولى والأخيرة، ثم يرسل إليك معاملة ضئيلة لتظهر في سجلك. والخطر أن تنسخه لاحقًا من ذلك السجل دون التحقّق من الأحرف الوسطى وترسل الأموال مباشرة إلى المهاجم. تحقّق دائمًا من العنوان الكامل، لا من طرفيه فقط.
استُنزفت محفظتي. هل يمكن استرداد الأموال؟
أحيانًا، والسرعة هي العامل الحاسم. فعند اكتشاف السرقة بسرعة، يمكن غالبًا تتبّع الأموال، وفي حالة العملات المستقرّة، تجميدها على مستوى الجهة المُصدِرة بطلب من جهات إنفاذ القانون قبل تحويلها أو تمريرها عبر منصّة تداول غير متعاونة. وتتتبّع Match Systems الأموال المسروقة عبر السلاسل وتنسّق مع منصات التداول وجهات إنفاذ القانون لدعم الاسترداد، لكن الاحتمالات تتراجع مع كل ساعة تمرّ.
المحفظة المخترَقة سباق، والمهاجم لديه أفضلية البداية.
بمجرّد مبادلة الأموال المسروقة أو تجسيرها أو سحبها عبر قنوات OTC، يصبح الاسترداد أصعب بكثير. تحقّق Match Systems في حوادث المحافظ المخترَقة وسرقة الكريبتو، متتبّعةً الأصول المسروقة عبر السلاسل وعاملةً مع منصات التداول وجهات إنفاذ القانون لدعم الاسترداد القانوني، مستندةً إلى قاعدة بيانات وسم عناوين خاصة وعلاقات امتثال مباشرة بُنيت عبر سنوات من التحقيقات النشطة.
ابدأ تقييم قضية: https://matchsystems.com
الأكثر رواجًا
- المقالات يمكن للمستخدم الشرعي أن يُجمَّد USDT الخاص به بسبب أموال ذات تاريخ ملوّث.
- المقالات هل يمكن استرداد العملات المشفّرة المسروقة؟
- الأخبار احتيال رابط الاجتماع المزيّف: كيف تُسرَق العملات المشفّرة
- الأخبار عقوبات HTX: مخاطر على الأصول المشفّرة
- المقالات كيف يسرق القراصنة العملات المشفّرة
- الأخبار Tether رفعت التجميد عن 79 مليون دولار — ونحن نعرف السبب
- المقالات سُرقت عملاتك المشفّرة؟ أول 60 دقيقة تقرّر ما يمكن استرداده.
- الأخبار استرداد الأصول المشفّرة عبر شبكات OTC
- المقالات Tether جمّدت USDT الخاص بك: ما الذي يحدث وماذا تفعل
- المقالات هل يمكنك تحديد مالك محفظة كريبتو؟
