أبرز النقاط
- نقرة واحدة على رابط خبيث يمكن أن تُفرغ محفظة كريبتو في ثوانٍ، دون أن يعرف أحد كلمة مرورك أو عبارة استردادك.
- الآلية هي أداة استنزاف محفظة: عقد ذكي خبيث يخدعك لتوقيع معاملة تمنحه إذنًا بتحريك أموالك.
- تُباع أدوات الاستنزاف الآن كبرمجيات تجارية بشبكات تسويق بالعمولة، ما يخفض الحاجز التقني لتشغيل هذه الهجمات.
- الإغراءات تبدو كمنصّات شرعية: إسقاطات جوّية مزيّفة، وسكّ NFT، وواجهات DeFi، ورسائل بريد منتحِلة لسلطات ضريبية.
- الاسترداد ممكن في كثير من الحالات، خاصةً عند وصول الأموال إلى منصّة تداول متعاونة أو تضمّنها عملات مستقرّة يمكن تجميدها بطلب من جهات إنفاذ القانون. والتصرّف الفوري يصنع الفرق.
- تحقّق Match Systems في حوادث استنزاف المحافظ، وتتتبّع الأموال المسروقة عبر السلاسل، وتعمل مع منصات التداول وجهات إنفاذ القانون لدعم الاسترداد حيثما أمكن.
في هذه المقالة
- ماذا يحدث فعلًا عند النقر على رابط خبيث
- كيف تعمل أدوات استنزاف المحافظ
- الإغراءات: كيف ينتهي الضحايا إلى هذه المواقع
- الاستنزاف كخدمة: لماذا يمكن لأي شخص تشغيل هذا الهجوم الآن
- ماذا يحدث لأموالك بعد الاستنزاف
- هل يمكن استرداد الأموال المسروقة؟
- كيف تحمي نفسك
- الأسئلة الشائعة
ماذا يحدث فعلًا عند النقر على رابط خبيث
يفترض معظم الناس أن فقدان الكريبتو بسبب رابط يعني أن فيروسًا أصاب جهازهم أو أن مخترقًا اقتحم محفظتهم عن بُعد. وفي معظم الحالات التي نحقّق فيها في Match Systems، لم يحدث أيّ منهما. فالضحية صرّحت بالسرقة بنفسها، بتوقيع معاملة منحت عقدًا ذكيًا خبيثًا إذنًا بتحريك أموالها.
أداة استنزاف المحفظة لا تسرق مفتاحك الخاص؛ بل تخدعك لتسليم إذن بإنفاق أصولك، متنكّرةً كتفاعل روتيني مع موقع. تنقر الضحية على رابط، وتصل إلى ما يبدو منصّة DeFi شرعية، وتربط محفظتها، وتوافق على ما يبدو تأكيدًا قياسيًا، وتُفرغ أداة الاستنزاف المحفظة في ثوانٍ.
كيف تعمل أدوات استنزاف المحافظ
تعمل هذه الهجمات باستغلال كيفية عمل أذونات الرموز على Ethereum والسلاسل المشابهة. فعند تفاعلك مع بروتوكول DeFi، تطلب محفظتك منك توقيع معاملة تصريح تمنح ذلك العقد إذنًا بإنفاق مقدار محدّد من رموزك.
وتستغلّ أدوات الاستنزاف هذا. فيعرض الموقع الخبيث مطالبة محفظة مطابقة لطلب تصريح شرعي. فتوقّعها الضحية، لكن الإذن يذهب إلى عقد المهاجم بدلًا من بروتوكول حقيقي، ويُضبَط المقدار على غير محدود. ثم تكنس أداة الاستنزاف كل رمز في المحفظة قبل أن يغلق المستخدم علامة تبويب المتصفّح.
وتستخدم المتغيّرات الأكثر تطوّرًا تواقيع EIP-2612 Permit، التي تصرّح بتحويلات الرموز عبر توقيع خارج السلسلة بدلًا من معاملة على السلسلة. ولا يظهر التوقيع كتصريح قياسي في محاكي معاملات المحفظة، فيتجاوز التحذيرات البصرية المعتادة. فتوقّع الضحية ما يبدو رسالة تسجيل دخول، ويستخدم المهاجم ذلك التوقيع لاستنزاف المحفظة لاحقًا.
وبعد ترقية Ethereum المسمّاة Pectra في مايو 2025، بدأ المهاجمون في استغلال EIP-7702 خلال أسابيع، حازمين عدة أفعال ضارّة في توقيع واحد.
الإغراءات: كيف ينتهي الضحايا إلى هذه المواقع
بينما الآلية التقنية متطوّرة، فإن طبقة الهندسة الاجتماعية لا تحتاج إلى ذلك.
من الأنماط التي نراها مرارًا رابط مُشارَك من حساب رسمي مخترَق. ففي 2025، اختطف المهاجمون بشكل روتيني حسابات X موثّقة تعود لمشاريع كريبتو ومؤثّرين وجهات حكومية، ثم نشروا روابط لمواقع استنزاف. وتبع الضحايا الرابط لأن المصدر بدا جديرًا بالثقة.
وأكثر الإغراءات شيوعًا هي:
- إسقاطات جوّية مزيّفة تَعِد برموز مجانية تتطلّب ربط محفظة والموافقة على معاملة للمطالبة بها.
- انتحال سكّ NFT، باستنساخ المشاريع الشهيرة عند الإطلاق لالتقاط حركة المرور من المستخدمين الباحثين عن صفحة السكّ.
- نسخ مطابقة تمامًا من Uniswap وCurve وغيرها من واجهات DeFi. والفرق الوحيد هو عنوان العقد خلف زرّ الموافقة.
- تسميم محرّكات البحث، مع تصنيف المواقع الخبيثة أعلى من الشرعية للاستعلامات عالية الحركة.
- انتحال الجهات التنظيمية. ففي 2025، وثّقت Kaspersky حملات تصيّد تنتحل صفة السلطات الضريبية في ألمانيا وفرنسا والنمسا وغيرها من الدول الأوروبية، مهدِّدةً بغرامات تصل إلى مليون يورو لعدم الامتثال. وطُلب من الضحايا إدخال عبارات الاسترداد أو ربط محافظهم ببوابات حكومية مزيّفة.
والخيط المشترك هو الاستعجال المتنكّر في هيئة شرعية: مواعيد نهائية، وعلامات تبدو رسمية، وضغط للتصرّف قبل فوات الفرصة.
الاستنزاف كخدمة: لماذا يمكن لأي شخص تشغيل هذا الهجوم الآن
حتى وقت قريب، كان تشغيل أداة استنزاف محفظة يتطلّب مهارة تقنية حقيقية: كتابة عقود ذكية، وبناء بنية تصيّد، وإدارة حملة. لم يعد ذلك صحيحًا. فقد وثّق باحثون أمنيون يتتبّعون هذه العمليات أن المسوّقين بالعمولة لأدوات كبرى مثل Angel Drainer يدفعون رسمًا مقدّمًا من 5,000 إلى 10,000 دولار إضافةً إلى عمولة 20% على الأصول المسروقة. ويوفّر المشغّلون العقد الذكي، وقوالب التصيّد، ولوحة الإدارة. ويتولّى المسوّق بالعمولة التوزيع.
هذا هو الاستنزاف كخدمة، وقد صنّع سرقة المحافظ. فأدوات مسمّاة مثل Inferno وAngel وPink شغّلت كل منها شبكات تسويق بالعمولة ودفعت تحديثات منتظمة للتهرّب من تحذيرات أمان المحافظ الجديدة. وعندما تُغلَق أداة تحت ضغط إنفاذ القانون، تملأ أخرى السوق خلال أسابيع. وقد نقلت Inferno بنيتها التحتية إلى Angel Drainer أواخر 2024، في تسليم مكشوف لأدوات إجرامية.
والنتيجة هي الحجم. خسر 106,000 ضحية مجتمعين 83.85 مليون دولار لتصيّد أدوات استنزاف المحافظ في 2025، انخفاضًا من 494 مليون دولار في 2024. ويعكس الانخفاض جزئيًا تحسّن أدوات أمان المحافظ، لكنه يعكس أيضًا تحوّل المهاجمين نحو نواقل أصعب في التتبّع مثل اختراق المفاتيح الخاصة والهندسة الاجتماعية الموجَّهة. فالتهديد تحوّل لا تراجع.
ماذا يحدث لأموالك بعد الاستنزاف
من منظور التتبّع، اللحظات التي تلي هجوم الاستنزاف حاسمة، وهي تتحرّك بسرعة. فالأصول المسروقة تُجزّأ عادةً فورًا. ويقسّم عقد الاستنزاف الأموال عبر عدة محافظ جديدة لتعقيد التتبّع وتأخير تنبيهات منصات التداول التي تطلقها التحويلات الواردة الكبيرة. وخلال دقائق، قد تُبادَل الأصول عبر منصّة تداول لامركزية إلى رمز مختلف، ما يزيل أي صلة واضحة بعنوان السرقة.
ومن هناك، ينطوي مسار الغسل عادةً على التجسير إلى سلسلة أخرى، أو التوجيه عبر خدمة خلط، أو الانتقال إلى مكتب OTC لتحويله إلى عملة تقليدية. وكل خطوة تقلّل نافذة التجميد.
والأفضلية التي يمتلكها المحقّقون هي أن كل خطوة مسجّلة على البلوكتشين. فالتجزئة، والمبادلات، والجسور — كلها تترك رسمًا بيانيًا قابلًا للتتبّع. وما إذا كان ذلك الرسم يقود إلى مكان قابل للتنفيذ يعتمد على مدى سرعة بدء التحقيق.
هل يمكن استرداد الأموال المسروقة؟
الإجابة الصادقة: أحيانًا، وتعتمد بشدّة على السرعة. فعندما تصل الأموال المسروقة إلى منصّة تداول مركزية بمتطلّبات KYC، يمكن للمحقّقين تقديم إشعار قانوني لفريق الامتثال لوسم حساب الاستلام وحجب السحب. وإذا وصل الإشعار قبل أن يسحب المهاجم، يمكن الحفاظ على الأموال بانتظار الإجراء القانوني.
وعندما تشمل الأموال المسروقة عملات مستقرّة مثل USDT أو USDC، هناك خيار إضافي. فبإمكان Tether وCircle تقييد عناوين محدّدة بطلب من جهات إنفاذ القانون. وتعمل Match Systems مباشرة مع جهات إنفاذ القانون لبدء تلك العملية في أسرع وقت ممكن. وبمجرّد تحويل الأموال من صيغة العملة المستقرّة، يُغلَق ذلك المسار.
وأصعب الحالات تشمل أموالًا حُوّلت بالكامل إلى رموز أصلية، وجُسّرت عبر عدة سلاسل، ووُجّهت عبر بنية لامركزية قبل بدء أي تحقيق. وفي كثير من الحالات التي نحقّق فيها، انتظر الضحية أيامًا قبل الإبلاغ، ما ضيّق الخيارات بالفعل بشكل كبير.
كيف تحمي نفسك
أكثر الدفاعات فعالية سلوكية، لا تقنية.
- لا توافق أبدًا على معاملة لا تفهمها بالكامل. فإذا لم توضّح مطالبة المحفظة بجلاء الإذن الذي تمنحه ولأي عنوان عقد، فارفضها.
- استخدم محفظة عتادية للحيازات المهمّة. فمتطلّبات التأكيد المادّي تكسر تسلسل الاستنزاف الآلي.
- دقّق وألغِ تصاريح الرموز بانتظام عبر إعدادات محفظتك أو واجهة موثوقة لإدارة التصاريح. فالتصاريح القديمة لبروتوكولات لم تعد تستخدمها التزام دائم.
- احفظ المواقع التي تستخدمها فعلًا في المفضّلة. فتسميم محرّكات البحث يصنّف مواقع الاستنزاف بشكل روتيني أعلى من الشرعية للاستعلامات عالية الحركة.
- تعامل مع روابط الإسقاطات الجوّية وسكّ NFT بشكّ افتراضي. فإذا لم تجد الرابط عبر قناة تتحكّم بها، تحقّق منه مقابل النطاق الرسمي للمشروع قبل ربط محفظتك.
- استخدم محفظة منفصلة للبروتوكولات غير المألوفة، تحمل فقط ما أنت مستعدّ لخسارته.
الأسئلة الشائعة
هل يمكن استنزاف محفظتي بمجرّد النقر على رابط، دون توقيع أي شيء؟
في معظم الحالات، لا. فزيارة موقع خبيث دون ربط محفظة أو توقيع معاملة لا تستنزف أموالك. فالاستنزاف يتطلّب تصريحك، ولو كان متنكّرًا. والهجمات المتقدّمة التي تستخدم ثغرات إضافات المتصفّح أو برمجيات الحافظة الخبيثة تعمل بشكل مختلف، لكن الغالبية العظمى تتطلّب تصريحًا موقَّعًا.
وقّعت معاملة على موقع مشبوه. ماذا أفعل فورًا؟
افتح محفظتك وتحقّق من سجل المعاملات بحثًا عن تحويلات صادرة لم تبدأها. وكثير من المحافظ يتضمّن الآن ميزات مدمجة لعرض تصاريح الرموز النشطة وإلغائها؛ استخدمها لقطع أي إذن دائم قد تكون منحته. وإذا كانت الأموال قد تحرّكت بالفعل، فسجّل هاش معاملة السرقة وعنوان الاستلام، وتواصل مع شركة تحقيق متخصّصة. ولا تتفاعل مع الموقع المشبوه مجدّدًا.
ما هو توقيع Permit ولماذا هو خطير؟
يتيح معيار Permit للمحفظة التصريح بتحويلات الرموز عبر توقيع خارج السلسلة بدلًا من معاملة تصريح على السلسلة. ولأنه لا يظهر كتصريح قياسي في معظم واجهات المحافظ، فإنه يتجاوز التحذيرات البصرية المعتادة. ويستخدم المهاجمون تواقيع Permit لاستنزاف المحافظ بينما يبدون كأنهم يطلبون شيئًا حميدًا، مثل تسجيل دخول أو تأكيد هوية.
هل يمكن تحميل المنصّة التي كنت أستخدمها المسؤولية؟
إذا تفاعلت مع نسخة مزيّفة، فالمنصّة الشرعية لا تتحمّل أي مسؤولية قانونية. وإذا اُخترق نطاق منصّة حقيقية أو حسابها الاجتماعي واستُخدم لتوزيع رابط الاستنزاف، فقد توجد أسس للمطالبات، رغم أنها معقّدة وتعتمد على الولاية القضائية.
كيف يتتبّع المحقّقون هجمات الاستنزاف؟
يبدأ المحقّقون من معاملة السرقة، ويرسمون أثر التجزئة والمبادلة عبر المحافظ والسلاسل، ويحدّدون النقاط التي لمست فيها الأموال منصّة تداول مركزية. ثم تذهب الإشعارات القانونية إلى فرق امتثال منصات التداول. وتتولّى Match Systems ذلك بعلاقات راسخة مع منصات التداول، ما يضغط الجدول الزمني للاستجابة بشكل كبير مقارنةً بقنوات إنفاذ القانون القياسية.
في تحقيقات سرقة الكريبتو، الوقت أهمّ مما يدركه معظم الضحايا.
بمجرّد مبادلة الأموال المسروقة أو تجسيرها أو توجيهها عبر قنوات OTC، يصبح الاسترداد أصعب بكثير. تحقّق Match Systems في حوادث استنزاف المحافظ وهجمات التصيّد، متتبّعةً الأصول المسروقة عبر السلاسل وعاملةً مع منصات التداول وجهات إنفاذ القانون لدعم الاسترداد القانوني.
ابدأ تقييم قضية: https://matchsystems.com
الأكثر رواجًا
- المقالات يمكن للمستخدم الشرعي أن يُجمَّد USDT الخاص به بسبب أموال ذات تاريخ ملوّث.
- المقالات هل يمكن استرداد العملات المشفّرة المسروقة؟
- الأخبار احتيال رابط الاجتماع المزيّف: كيف تُسرَق العملات المشفّرة
- الأخبار عقوبات HTX: مخاطر على الأصول المشفّرة
- المقالات كيف يسرق القراصنة العملات المشفّرة
- الأخبار Tether رفعت التجميد عن 79 مليون دولار — ونحن نعرف السبب
- المقالات سُرقت عملاتك المشفّرة؟ أول 60 دقيقة تقرّر ما يمكن استرداده.
- الأخبار استرداد الأصول المشفّرة عبر شبكات OTC
- المقالات Tether جمّدت USDT الخاص بك: ما الذي يحدث وماذا تفعل
- المقالات تُخترَق محافظ الكريبتو عبر الأجهزة والتطبيقات والخطأ البشري، لا عبر البلوكتشين.
