أبرز النقاط
- البلوكتشين نفسه لم يُخترَق قطّ. فتحدث معظم سرقات الكريبتو عبر الأشخاص والأنظمة المحيطة به: المحافظ، والواجهات، ومنصات التداول، والخطأ البشري.
- لا يحتاج القراصنة إلى كسر التشفير. بل يحتاجون فقط إلى مفتاحك الخاص أو عبارة استردادك، وهناك طرق كثيرة للحصول عليها دون لمس أي شيفرة.
- التصيّد هو أكثر أساليب الهجوم شيوعًا إلى حدّ بعيد. فالمواقع المزيّفة، وتصاريح المعاملات الخبيثة، وانتحال الهوية المولَّد بالذكاء الاصطناعي تشكّل الآن حصّة ضخمة من الخسائر الفردية.
- يتيح تبديل شريحة SIM للمهاجمين اختطاف رقم هاتفك وتجاوز المصادقة الثنائية.
- ثغرات العقود الذكية واختراقات منصات التداول تتصدّر العناوين عادةً، لكن غالبية خسائر 2025 جاءت من مفاتيح خاصة مخترَقة وهندسة اجتماعية، لا من استغلال شيفرة.
- إذا سُرقت أموالك، فأول 48 ساعة هي النافذة الأكثر أهمية. تستطيع شركات مثل Match Systems تتبّع الأموال المسروقة عبر السلاسل والعمل مباشرة مع منصات التداول لتجميد الأصول، لكن فقط إذا بدأت العملية مبكّرًا بما يكفي.
في هذه المقالة
- لماذا تُسرَق العملات المشفّرة — السبب الحقيقي
- التصيّد والهندسة
- الاجتماعية
- سرقة المفتاح الخاص وعبارة
- الاسترداد
- تبديل شريحة SIM
- استغلال العقود الذكية
- اختراقات منصات التداول والحافظين
- ماذا تفعل إذا استُهدِفت
- الأسئلة الشائعة
لماذا تُسرَق العملات المشفّرة — السبب الحقيقي
هناك افتراض راسخ بأن سرقة الكريبتو مشكلة تشفير: أنه في مكان ما، كسر عالِم رياضيات خوارزمية أو وجد خللًا في تصميم البلوكتشين. وذلك الافتراض خاطئ، وهو يهمّ، لأنه يدفع الناس إلى وضع دفاعاتهم في غير موضعها.
شيفرة البلوكتشين لا تُخترَق. بل المفاتيح الخاصة، وعبارات الاسترداد، والبشر يُخترَقون.
الوصول إلى محفظة كريبتو يتطلّب شيئًا واحدًا بالضبط — المفتاح الخاص الذي يتحكّم بها. وذلك المفتاح موجود في مكان ما: في ملف، أو إضافة متصفّح، أو مكتوب على ورق، أو محفوظ في الذاكرة. وأينما وُجد، يمكن سرقته دون لمس سطر واحد من شيفرة البلوكتشين. ومعظم أساليب الهجوم التي نراها في التحقيقات أقرب إلى الاحتيال التقليدي منها إلى أي شيء تقني: الخداع، وانتحال الهوية، والتلاعب.
والحجم يعكس ذلك. فقد سجّل تقرير FBI لجرائم الإنترنت لعام 2025 ما مجموعه 181,565 شكوى احتيال عملات مشفّرة من الأمريكيين بإجمالي خسائر تتجاوز 11 مليار دولار. فالتشفير صمد، لكن كل ما حوله لم يصمد.
التصيّد والهندسة الاجتماعية
التصيّد هو نقطة الدخول في قضايا سرقة كريبتو أكثر من أي أسلوب آخر. وهو ليس الأكثر ضررًا لكل حادثة، لكنه الأكثر شيوعًا إلى حدّ بعيد، ويزداد صعوبة في الرصد.
الآلية الأساسية لم تتغيّر: جعل الضحية تسلّم بيانات الاعتماد، أو توقّع ما لا ينبغي، أو تُدخِل عبارة استردادها في مكان يتحكّم به المهاجم. وما تغيّر هو جودة الخداع.
من الأنماط التي نراها مرارًا واجهة المحفظة المزيّفة. فيبحث مستخدم عن MetaMask أو Ledger Live، ويصل إلى موقع يبدو مطابقًا للأصلي، ويُدخِل عبارة استرداده لـ“استعادة” محفظته. فتُجمَع العبارة في الوقت الفعلي. وبحلول الوقت الذي يدرك فيه ما حدث، تكون الأموال قد تحرّكت بالفعل.
ومن المتغيّرات الأكثر تطوّرًا تقنيًا التي رصدناها معاملة التصريح الخبيثة. ففي DeFi، يتطلّب كل تفاعل بروتوكول تقريبًا توقيع تصريح رمز — إذن يتيح لعقد ذكي إنفاق رموزك. ويبني المهاجمون مواقع DeFi مزيّفة تطالب بتصاريح غير محدودة. فتوقّع الضحية ما يبدو معاملة روتينية. ويستنزف عقد المهاجم المحفظة متى شاء، أحيانًا بعد ساعات أو أيام.
وقد غيّر الذكاء الاصطناعي اقتصاديات هذا كليًا. فقد أشار مركز IC3 التابع لـ FBI في تقريره لعام 2025 إلى أن التزييف العميق، ونسخ الأصوات، والشخصيات المكتوبة بالذكاء الاصطناعي أصبحت الآن أدوات قياسية للهندسة الاجتماعية واسعة النطاق. وقد تضمّنت أكثر من 22,000 شكوى في 2025 احتيالًا مُيسَّرًا بالذكاء الاصطناعي، بخسائر تتجاوز 893 مليون دولار — وهذا في الولايات المتحدة وحدها. فقد انهار عمليًا حاجز إدارة حملة مقنعة.
سرقة المفتاح الخاص وعبارة الاسترداد
إذا كان التصيّد يقود أكثر الحوادث، فإن سرقة المفتاح الخاص وعبارة الاسترداد تسبّب أكبر ضرر لكل قضية. فعبارة الاسترداد هي المفتاح الرئيسي لكل ما في محفظة. ولا توجد عملية استرداد ولا تصعيد لدعم العملاء، ما لم يُفتَح تحقيق احترافي بسرعة.
وكما رأينا في عملنا، لا يدرك معظم الضحايا، للأسف، كم من الأسطح تعرّض عبارة استردادهم. فبرمجيات سرقة المعلومات تفحص بحثًا عن عبارات مخزّنة في ملفات نصّية، وإضافات متصفّح، ولقطات شاشة. وتطبيقات المحافظ المزيّفة تولّد عبارة للمستخدم، ثم تنقلها بصمت إلى المهاجم. والنسخ الاحتياطية السحابية (iCloud، وGoogle Photos) تحوّل صورة عبارة مكتوبة بخط اليد إلى هدف يمكن الوصول إليه عن بُعد.
ومن منظور التتبّع، تكون سرقات عبارات الاسترداد غالبًا أنظف القضايا في التحديد وأصعبها في الاسترداد. فمعاملة السرقة فورية وكاملة. وبحلول الوقت الذي يتواصل فيه الضحية معنا، تكون الأموال قد تحرّكت عادةً عبر عدة محافظ. ونحو 70% من أموال الكريبتو المسروقة في السنوات الأخيرة تعود إلى شكل من أشكال تعرّض عبارة الاسترداد، ما يعني أن غالبية القضايا التي نراها كانت قابلة للمنع.
اختراق Bybit في فبراير 2025 مُلهِم بشكل خاص: 1.5 مليار دولار في عملية واحدة، أكبر سرقة كريبتو في التاريخ. لم يستغلّ المهاجمون خللًا في عقد ذكي. بل استخدموا الهندسة الاجتماعية على موقِّع داخلي في محفظة Safe متعدّدة التواقيع لدى Bybit، واخترقوا المفتاح الخاص، واستنزفوا 400,000 ETH خلال دقائق. فما اُخترق لم يكن محيط المنصّة، بل الطبقة البشرية.
تبديل شريحة SIM
من خبرتنا، لا يدرك معظم ضحايا تبديل شريحة SIM أن الهجوم قد بدأ حتى يفقد هاتفهم الإشارة. وعند تلك النقطة، يكون المهاجم قد تلقّى بالفعل رموز التحقّق عبر الرسائل القصيرة ويعيد تعيين كلمات المرور على حسابات منصات التداول لديهم.
لا يتطلّب الأسلوب أي مهارة تقنية. فيجمع المهاجم بيانات شخصية (الاسم، والعنوان، وآخر أربعة أرقام من رقم الضمان الاجتماعي، مثلًا) من تسريبات البيانات أو ملفات وسائل التواصل. ويتّصل بمشغّل الضحية، وينتحل شخصيته، ويدّعي فقدان الهاتف أو سرقته، ويطلب نقل الرقم إلى شريحة جديدة. فيصبح وكيل خدمة عملاء، تحت ضغط حلّ المكالمات بسرعة، الحلقة الأضعف.
وبمجرّد اختطاف الرقم، تصبح المصادقة الثنائية عبر الرسائل القصيرة عديمة الجدوى. فكل رمز يذهب إلى المهاجم. ومن هناك، يعيد تعيين حساب البريد، ثم حساب منصّة التداول، ثم يسحب كل ما هو متاح.
وقد نما الحجم بحدّة. فقد تتبّع تقرير IC3 التابع لـ FBI لعام 2024 خسائر كريبتو أمريكية موثَّقة بقيمة 28.4 مليون دولار نُسبت تحديدًا إلى تبديل شريحة SIM. وفي مارس 2025، أمرت محكمة تحكيم أمريكية شركة T-Mobile بدفع 33 مليون دولار بعد أن استنزف تبديل شريحة SIM واحد حيازات عميل من العملات المشفّرة.
وفي أكتوبر 2025، فكّكت Europol عملية SIMCARTEL — شبكة مقرّها لاتفيا وفّرت بنية شرائح SIM للمحتالين عبر 80 دولة، دعمًا لأكثر من 49 مليون حساب مزيّف استُخدمت لتجاوز المصادقة الثنائية على منصات تداول الكريبتو والبنوك الرقمية والمنصّات الاجتماعية.
استغلال العقود الذكية
استغلال العقود الذكية هو ما يتخيّله معظم الناس عند سماع “اختراق كريبتو”. وهو حقيقي، ومضرّ، ويتطلّب تطوّرًا تقنيًا فعليًا، وهو بالضبط سبب كونه أقل شيوعًا من الأساليب التي وصفناها أعلاه.
الفرضية الأساسية: العقود الذكية شيفرة؛ والشيفرة بها أخطاء؛ والأخطاء يمكن استغلالها لاستنزاف الأموال التي يحملها العقد. ولا يحتاج المهاجم إلى مفتاح خاص لأحد — بل يجد خللًا في المنطق ويستخدمه ضد البروتوكول مباشرة.
وإليك المتغيّرات التي نراها أكثر في التحقيقات:
- هجمات إعادة الدخول (Reentrancy): يُتلاعَب بالعقد لإجراء عمليات سحب متكرّرة قبل تحديث سجلات رصيده. وقد ريادَ اختراق DAO هذا في 2016. ولا يزال ينجح عندما لا تُكتَب العقود بعناية.
- التلاعب بالأوراكل: تعتمد البروتوكولات على تغذية الأسعار من أوراكل خارجية. والمهاجم القادر على تحريك الأسعار مؤقتًا على DEX ذات سيولة رقيقة يمكنه خداع بروتوكول إقراض ليطلق أكثر بكثير مما ينبغي.
- عيوب المنطق: أخطاء تصميم في معالجة الحالات الطرفية. استغلال Cetus DEX على Sui في مايو 2025 (223 مليون دولار) تضمّن رموزًا مزيّفة أساءت استغلال خلل في كيفية حساب البروتوكول لمراكز السيولة.
- إخفاقات التحكّم بالوصول: وظائف إدارية غير مقيّدة بشكل سليم. وعند استغلالها، يمكن للمهاجمين سكّ رموز غير محدودة، أو استنزاف الخزائن، أو تغيير ملكية العقد بالكامل.
ونمط يستحقّ الملاحظة: استغلال العقود الذكية يسبقه على نحو متزايد تدقيق فاته اكتشاف الثغرة. فيُدقَّق بروتوكول، ويُطلَق، ثم يُستنزَف عبر النوع نفسه من الحالات الطرفية التي يُفترض أن يكتشفها التدقيق.
اختراقات منصات التداول والحافظين
منصات التداول المركزية هي أعلى الأهداف قيمةً في المنظومة. فهي تحتفظ بأموال المستخدمين في محافظ ساخنة يجب أن تبقى متّصلة بالإنترنت للعمليات اليومية. واختراق ناجح واحد يمكن أن يعطي مئات الملايين. والمهاجمون يعرفون ذلك، ويستثمرون تبعًا لذلك.
وسطح الهجوم أوسع مما يدرك معظم المستخدمين. ويشمل حملات تصيّد تستهدف موظّفي دعم العملاء، وبيانات اعتماد إدارية مخترَقة، ومطّلعين خبثاء، وتكاملات طرف ثالث معرّضة، وسرقة مفاتيح API. وفي كثير من الحالات التي نحقّق فيها بخسائر على مستوى منصات التداول، كان الاختراق التقني ثانويًا لخطوة هندسة اجتماعية جاءت أولًا.
والجسور عبر السلاسل تستحقّ اهتمامًا خاصًا. فهي بنية تحتية حرجة، إذ تتيح انتقال الأصول بين البلوكتشينات، وهي معقّدة بنيويًا بطرق تُدخِل أسطح هجوم جديدة: مجموعات مدقّقين صغيرة، ومفاتيح إدارية ذات امتيازات، ومنطق معقّد يتعامل مع أنواع أصول متعدّدة. وقد أسفر استغلال جسر في 2025 تضمّن خللًا في تصميم المدقّقين عن خسائر بقيمة 700 مليون دولار. وتبقى الجسور من أكثر الفئات استغلالًا باستمرار في هذا المجال.
Bybit أوضح مثال حديث على كيفية تكشّف هذه الهجمات فعلًا. استنزف المهاجمون 401,000 ETH من محافظ متعدّدة التواقيع قائمة على Safe عبر Ethereum وArbitrum. وجُزّئت الأموال عبر عشرات العناوين الجديدة وحُرّكت عبر جسور وخدمات خلط خلال ساعات. وبحلول الوقت الذي أكّدت فيه المنصّة الاختراق علنًا، كان الغسل قد بدأ بالفعل.
أساليب الهجوم في لمحة
|
نوع الهجوم |
الهدف الأساسي |
حجم 2025 |
الدفاع الرئيسي |
|
التصيّد والهندسة الاجتماعية |
المستخدمون الأفراد |
أكثر من 132 حادثة، وأكثر من 410 ملايين دولار في النصف الأول من 2025 |
تحقّق من العناوين؛ لا تشارك عبارات الاسترداد أبدًا |
|
سرقة عبارة الاسترداد / المفتاح الخاص |
المحافظ الفردية |
1.71 مليار دولار — 69% من خسائر النصف الأول من حيث القيمة |
محفظة عتادية؛ نسخة احتياطية دون اتصال فقط |
|
تبديل شريحة SIM |
حسابات منصات التداول |
ارتفاع 1,055% في المملكة المتحدة؛ أكثر من 26 مليون دولار خسائر أمريكية (2024) |
استبدل المصادقة الثنائية عبر الرسائل القصيرة بتطبيق مصادقة |
|
استغلال العقود الذكية |
بروتوكولات DeFi |
25 حادثة، بمتوسّط 11.1 مليون دولار لكل منها (2025) |
عقود مدقَّقة؛ استخدم بروتوكولات راسخة |
|
اختراقات منصات التداول / الحافظين |
المحافظ الساخنة للمنصّات المركزية |
1.5 مليار دولار من Bybit وحدها (فبراير 2025) |
تخزين غير حافظ للحيازات الكبيرة |
ماذا تفعل إذا استُهدِفت
الغريزة الأولى لمعظم الضحايا هي مواصلة محاولة الوصول إلى محفظتهم، أو التواصل مع دعم عملاء المنصّة، أو البحث عن مساعدة في المنتديات. ولا شيء من هذه التحرّكات الأولى صحيح.
المهاجمون يتحرّكون بسرعة. ففي حالات حقّقنا فيها، جُسّرت الأموال المسروقة إلى سلسلة مختلفة خلال 15 دقيقة من السرقة. وخلال ساعة، مرّت عبر ثلاث أو أربع محافظ وسيطة. وخلال 12 ساعة، وصلت إلى مكتب OTC أو خلّاط. وكل خطوة تجعل الاسترداد أصعب. وكل ساعة تمرّ دون إشراك مختصّ تضيّق النافذة.
الأولويات الفورية:
- سجّل هاش معاملة السرقة وعنوان محفظة المهاجم قبل فعل أي شيء آخر. فهذه نقطة انطلاق كل تحقيق.
- لا ترسل أموالًا إضافية إلى أي عنوان يدّعي تقديم مساعدة استرداد. فعمليات الاحتيال التالية التي تستهدف ضحايا السرقة شائعة للغاية، وتنجح لأن الضحايا يائسون.
- تواصل مع شركة متخصّصة قبل تقديم بلاغ للشرطة حيثما أمكن. فتعاون منصات التداول يتحرّك أسرع عبر قنوات المحقّقين المباشرة منه عبر طلبات إنفاذ القانون الرسمية، التي قد تستغرق أسابيع.
- إذا تضمّنت السرقة تبديل شريحة SIM، فاقفل حساب هاتفك مع مشغّلك فورًا وألغِ المصادقة الثنائية عبر الرسائل القصيرة على كل حساب مرتبط.
- إذا شملت الأموال المسروقة عملات مستقرّة مثل USDT أو USDC، فتواصل مع شركة يمكنها التنسيق مع جهات إنفاذ القانون لطلب تجميد من الجهة المُصدِرة. فبإمكان Tether وCircle تجميد عناوين محدّدة بطلب من السلطات، لكن فقط بينما الأموال لا تزال في مكانها.
معظم الضحايا الذين يستردّون أي جزء من أموالهم يفعلون ذلك لأنهم تصرّفوا في أول 24 إلى 48 ساعة. ومعظم من لا يستردّون شيئًا انتظروا طويلًا، أو جرّبوا مقاربات استرداد هاوية، أو تواصلوا مع الأشخاص الخطأ أولًا.
الأسئلة الشائعة
هل يمكن فعلًا استرداد العملات المشفّرة المسروقة؟
نعم، في كثير من الحالات — خاصةً عند الإبلاغ عن السرقة بسرعة وتتبّع الأموال قبل وصولها إلى ولاية قضائية غير متعاونة أو تحويلها بالكامل. والاسترداد أكثر ترجيحًا عند وجود عملات مستقرّة، إذ يمكن للجهات المُصدِرة تجميد عناوين محدّدة بطلب من جهات إنفاذ القانون. وتعمل Match Systems مع منصات التداول وجهات إنفاذ القانون لدعم تلك العملية. ولا تضمن أي شركة شرعية الاسترداد، لكن التصرّف المبكّر يحسّن الاحتمالات بشكل كبير.
هل تمنع المحافظ العتادية السرقة؟
تقلّل بشكل كبير سطح الهجوم بإبقاء المفاتيح الخاصة دون اتصال. لكنها لا تلغي المخاطرة. فالتصيّد، والسرقة المادّية، وتعرّض عبارة الاسترداد تبقى تهديدات بغضّ النظر عن نوع المحفظة. والمحفظة العتادية هي الأداة المناسبة لتأمين الحيازات الكبيرة — وليست بديلًا عن فهم مشهد التهديدات.
هل DeFi أكثر خطورة من استخدام منصّة تداول مركزية؟
لكلٍّ مخاطر مختلفة. فـ DeFi يعرّضك لأخطاء العقود الذكية والتصيّد القائم على التصاريح، لكنك تحتفظ بحفظ أموالك. ومنصات التداول المركزية أكثر راحة لكنها تُدخِل مخاطر الحفظ: فإذا اُخترقت المنصّة، يعتمد ملاذك كليًا على تأمينها واحتياطياتها. ولا أحدهما أكثر أمانًا بشكل قاطع.
ما هي معاملة التصريح الخبيثة؟
تتطلّب تفاعلات DeFi توقيع تصاريح رموز — أذونات تتيح لعقد إنفاق رموزك. ويبني المهاجمون مواقع DeFi مزيّفة تطالب بتصاريح غير محدودة. وبمجرّد التوقيع، يمكن لعقدهم استنزاف محفظتك في أي وقت. دقّق وألغِ التصاريح القديمة بانتظام.
كيف يتتبّع المحقّقون الأموال بعد السرقة؟
يرسم المحقّقون الرسم البياني للمعاملات من عنوان السرقة عبر المحافظ الوسيطة إلى عناوين إيداع منصات التداول. وعندما تصل الأموال إلى منصّة تداول متحقَّقة بـ KYC، يذهب إشعار قانوني إلى فريق امتثالها. وتجمع Match Systems هذا التتبّع على السلسلة بعلاقات راسخة مع منصات التداول، ما يعني أن عملية وسم الأموال تتحرّك أسرع بكثير من طلب إنفاذ قانون قياسي.
في تحقيقات سرقة الكريبتو، الوقت أهمّ مما يدركه معظم الضحايا.
بمجرّد تجسير الأموال أو خلطها أو سحبها عبر قنوات OTC، يصبح الاسترداد أصعب بكثير. تعمل Match Systems مع منصات التداول والجهات المُصدِرة للعملات المستقرّة وجهات إنفاذ القانون لتتبّع الأصول المسروقة ودعم الاسترداد القانوني — بقاعدة بيانات وسم عناوين خاصة وعلاقات امتثال مباشرة تضغط الجدول الزمني من أسابيع إلى أيام.
ابدأ تقييم قضية: https://matchsystems.com
الأكثر رواجًا
- المقالات يمكن للمستخدم الشرعي أن يُجمَّد USDT الخاص به بسبب أموال ذات تاريخ ملوّث.
- المقالات هل يمكن استرداد العملات المشفّرة المسروقة؟
- الأخبار احتيال رابط الاجتماع المزيّف: كيف تُسرَق العملات المشفّرة
- الأخبار عقوبات HTX: مخاطر على الأصول المشفّرة
- الأخبار Tether رفعت التجميد عن 79 مليون دولار — ونحن نعرف السبب
- المقالات سُرقت عملاتك المشفّرة؟ أول 60 دقيقة تقرّر ما يمكن استرداده.
- الأخبار استرداد الأصول المشفّرة عبر شبكات OTC
- المقالات Tether جمّدت USDT الخاص بك: ما الذي يحدث وماذا تفعل
- المقالات تُخترَق محافظ الكريبتو عبر الأجهزة والتطبيقات والخطأ البشري، لا عبر البلوكتشين.
- المقالات هل يمكنك تحديد مالك محفظة كريبتو؟
