ماذا تفعل فورًا إذا سُرقت عملاتك المشفّرة

ماذا تفعل فورًا إذا سُرقت عملاتك المشفّرة

أبرز النقاط

  • في أسرع الاختراقات الموثَّقة في 2025، تحرّكت العملات المشفّرة المسروقة خلال ثوانٍ من السرقة وجرى غسلها بالكامل خلال دقائق. وأول 60 دقيقة بعد أن تلاحظ هي الجزء من الاستجابة الذي يقرّر معظم النتائج.
  • الأولوية الأولى هي الاحتواء: إلغاء أي تصاريح خبيثة، وفصل الجلسات المخترَقة، وإنقاذ الأموال المتبقّية حيث يكون ذلك ممكنًا فعلًا. والتقاط الأدلة يأتي مباشرة بعد ذلك.
  • عامل المحفظة المخترَقة كأنها لم تعد لك. توقّف عن التفاعل معها، ولا ترسل معاملة “إنقاذ” ما لم يكن لديك جهاز نظيف ومحفظة جديدة جاهزة.
  • إذا فقد هاتفك الإشارة أو وقّعت شيئًا على موقع، فهذه التفاصيل تهمّ. فهي توجّه المحقّقين نحو ناقل الهجوم وتشكّل الاستجابة.
  • إذا شملت الأموال المسروقة عملات مستقرّة، فأول 60 دقيقة هي حين يكون التجميد عبر جهات إنفاذ القانون أكثر قابلية للتحقيق. وبمجرّد تحويل الأموال خارج صيغة العملة المستقرّة، يُغلَق ذلك الخيار.
  • تواصل مع Match Systems قبل أن تفعل أي شيء آخر يستغرق وقتًا. فكلما رأينا هاش المعاملة أبكر، بقي المزيد من الأثر قابلًا للتنفيذ.

في هذه المقالة

  • لماذا تهمّ أول 60 دقيقة كثيرًا
  • الدقيقة 0-15: أوقف النزيف
  • الدقيقة 15-30: أكّد والتقط
  • الدقيقة 30-45: أحكم إغلاق ما هو متّصل
  • الدقيقة 45-60: أشرِك المختصّين
  • قائمة الـ 60 دقيقة
  • بعد الساعة الأولى
  • الأسئلة الشائعة

لماذا تهمّ أول 60 دقيقة كثيرًا

في عملنا، نرى متغيّرًا واحدًا يفصل القضايا التي تنتهي باسترداد عن التي لا تنتهي. إنه ليس حجم السرقة. وليس تطوّر المهاجم. إنه مدى سرعة تصرّف الضحية.

والسبب يعود إلى السرعة التي تتحرّك بها العملات المشفّرة المسروقة. فقد حلّلت دراسة عام 2025 من شركة تحليلات البلوكتشين Global Ledger‏ 119 اختراقًا في النصف الأول من العام ووجدت أنه في أسرع حالة موثَّقة، تحرّكت الأموال خلال أربع ثوانٍ من الاختراق — أسرع بأكثر من 75 مرة من متوسّط نظام تنبيه منصّة تداول أو DeFi. وفي حادثة أخرى، استغرقت عملية الغسل بأكملها دقيقتين و57 ثانية، أسرع من مهلة إطفاء شاشة حاسوب محمول. فبحلول الوقت الذي يؤكّد فيه معظم الضحايا وقوع السرقة، تكون الأصول قد تحرّكت بالفعل.

ووجدت الدراسة نفسها أنه في 68% من الحالات، حرّك القراصنة الأموال قبل أن يُعرَف الهجوم علنًا، وأن اختراقًا واحدًا من كل أربعة جرى غسله بالكامل قبل إصدار أي تنبيه. وبحلول النصف الثاني من 2025، ارتفع ذلك الرقم إلى 84.6%.

لهذا تحمل أول 60 دقيقة هذا القدر من الأهمية. فكل دقيقة يقضيها الضحية في الذعر، أو النشر على تيليجرام، أو تجربة مواقع استرداد عشوائية، هي دقيقة يستخدمها المهاجم لتجزئة الأموال عبر المحافظ، أو مبادلتها عبر DEX، أو تجسيرها إلى سلسلة أقل مراقبة. والنافذة لا تُغلَق عند علامة الساعة، لكنها تضيق بحدّة مع كل دقيقة تمرّ. وما تفعله في أول 60 دقيقة هو ما تملك أكبر تحكّم فيه.

الدقيقة 0-15: أوقف النزيف

أول 15 دقيقة ينبغي أن تنتج شيئًا واحدًا: الاحتواء. فإذا كان أي شيء لا يزال قابلًا للاسترداد، فهو قابل للاسترداد الآن.

إذا كان لا يزال لديك أصول قيّمة في المحفظة نفسها التي اُخترقت، فالسؤال الأكثر إلحاحًا هو ما إذا كان يمكن نقلها إلى الأمان. والتأطير الصادق هو أن هذا يعتمد كليًا على كيفية حدوث السرقة. فإذا تعرّضت عبارة استردادك أو مفتاحك الخاص، فلم تعد المحفظة لك، بغضّ النظر عمّا لا يزال فيها. فالمهاجمون يشغّلون بشكل روتيني سكربتات آلية تكنس أي غاز وارد لحظة وصوله، لذا فإن إرسال معاملة إنقاذ يفشل غالبًا ويسلّمهم رسم الغاز ببساطة. والإنقاذ الحقيقي يتطلّب جهازًا نظيفًا ومحفظة أُنشئت حديثًا لم تلمس مفاتيحها قطّ البيئة المخترَقة. وحتى عندئذٍ، عامله كمحاولة منخفضة الاحتمال. تحرّك بسرعة، وتوقّع فشلها، ولا تضاعف الخسارة بإرسال مزيد من الأموال سعيًا وراء استرداد.

إذا تضمّنت السرقة تصريحًا خبيثًا أو توقيع Permit بدلًا من تعرّض عبارة الاسترداد، فالوضع مختلف. فالمهاجم يحمل إذنًا دائمًا لاستنزاف الرموز حال وصولها، لكن المحفظة نفسها لا تزال تحت تحكّمك. افتح لوحة المواقع المتّصلة وتصاريح الرموز في محفظتك وألغِ أي شيء مُنِح لعنوان غير مألوف. فهذا هو الإجراء الوحيد الذي يستفيد فعلًا من تنفيذه فورًا، ويمكنه إيقاف الضرر الجاري حتى عندما تكون السرقة الأولية مكتملة بالفعل.

افصل أي محافظ إضافات متصفّح عن الموقع المشبوه الذي تفاعلت معه، إن انطبق. أغلق علامة تبويب المتصفّح، ولا تحدّث الموقع أو تعُد إليه. وبمجرّد التعامل مع الاحتواء، تكون قد فعلت ما بوسعك للحدّ من خسارة إضافية. والأولوية التالية هي توثيق ما أُخذ بالفعل.

الدقيقة 15-30: أكّد والتقط

الآن الأولوية هي بناء سجلّ كامل لما سُرق. فبدونه، لا يجد أي شيء يفعله المحقّقون لاحقًا مكانًا للبدء.

افتح مستكشف بلوكتشين (Etherscan لـ Ethereum، وTronscan لـ Tron، وBscScan لـ BNB Chain، وهكذا) وابحث عن المعاملة غير المصرّح بها. لا تعتمد على واجهة محفظتك، التي يمكن لمهاجم متطوّر التلاعب بها. فالبلوكتشين مصدر الحقيقة.

التقط ما يلي:

  • هاش معاملة السرقة (سلسلة أبجدية رقمية طويلة تبدأ بـ 0x على معظم السلاسل)
  • عنوان استلام المهاجم
  • المبلغ ونوع الرمز
  • الطابع الزمني الدقيق
  • لقطات شاشة لصفحة المستكشف تُظهر كل ما سبق

إذا تضمّن الأمر عدة معاملات، فالتقطها كلها. فبعض أدوات الاستنزاف تقسّم السرقة عبر عدة تحويلات صادرة إلى عناوين جديدة متعدّدة؛ ويحتاج المحقّقون الصورة الكاملة، لا الأولى فحسب.

إذا كان لديك أي سياق عن كيفية حدوث السرقة (رابط نقرت عليه، أو معاملة وقّعتها، أو هاتف فقد الإشارة)، فدوّنه الآن بينما هو طازج. فحتى التفاصيل غير المؤكّدة تهمّ.

الدقيقة 30-45: أحكم إغلاق ما هو متّصل

سرقة الكريبتو نادرًا ما تكون حدث محفظة واحدة. فالمهاجمون الذين يحصلون على موطئ قدم واحد غالبًا ما يتحوّلون إلى غيره، والحسابات المتّصلة المحيطة بالمحفظة عادةً هي التالية.

غيّر كلمة مرور حساب بريدك الإلكتروني أولًا. فكل حساب متّصل بالكريبتو تقريبًا يعود إلى البريد لإعادة تعيين كلمة المرور، لذا فإن مهاجمًا لديه وصول للبريد يمكنه التسلسل إلى حسابات منصات التداول، والمحافظ الحافظة، ومسارات الاسترداد. استخدم كلمة مرور جديدة، مضبوطة من جهاز نظيف.

غيّر كلمات المرور على أي حسابات منصات تداول مركزية تستخدمها، وراجع إعدادات الأمان فورًا. استبدل المصادقة الثنائية عبر الرسائل القصيرة بتطبيق مصادقة أو مفتاح عتادي. فالمصادقة الثنائية عبر الرسائل القصيرة يمكن هزيمتها بتبديل شريحة SIM، وكثير من القضايا التي نحقّق فيها تتضمّن تلك الخطوة بالضبط.

إذا فقد هاتفك الإشارة فجأة في الدقائق أو الساعات قبل ملاحظتك للسرقة، فتعامل معها كاحتمال تبديل شريحة SIM قيد التنفيذ. اتّصل بمشغّلك من هاتف مختلف، واقفل الحساب، واطلب تأكيدًا بأنه لم يُصرَّح بأي نقل شريحة حديث. وحقيقة أنك تواصلت معهم جزء من أثر الأدلة أيضًا.

الدقيقة 45-60: أشرِك المختصّين

بحلول الدقيقة 45، تكون الأدلة قد التُقطت، والتعرّض الفوري أُغلق، والحسابات المتّصلة أُمّنت. والأولوية المتبقّية للساعة الأولى هي وضع القضية في أيدي من يمكنهم التحرّك بشأنها.

وهذه هي نقطة التواصل مع Match Systems. فأول ما نطلبه هو هاش المعاملة وعنوان المهاجم — الأدلة نفسها التي التُقطت في أول 15 دقيقة. ومن هناك يبدأ التحقيق: رسم رسم العناوين البياني، وتحديد أي منصات تداول أو خدمات تتّجه إليها الأموال، وتحديد أكثر مسارات الاستجابة فعالية للقضية. والعلاقات المباشرة بين المحقّقين وفرق امتثال منصات التداول تتحرّك أسرع من التنقّل عبر القنوات الرسمية وحدها، وكلما رأينا القضية أبكر، زاد النفوذ الذي يمكن أن تنتجه تلك العلاقة.

إذا شملت الأصول المسروقة عملات مستقرّة مثل USDT أو USDC، فهذه الساعة أهمّ. فبإمكان Tether وCircle تقييد عناوين محدّدة بطلب من جهات إنفاذ القانون، ومسار التدخّل ذاك أكثر قابلية للتحقيق بينما لا تزال الأموال في صيغة عملة مستقرّة. ونحن ننسّق مع السلطات لبدء تلك العملية. وبمجرّد مبادلة الأموال، يُغلَق الخيار.

يريد بعض الضحايا أيضًا تقديم بلاغ للشرطة أو التواصل مع وحدة جرائم إلكترونية وطنية في هذه النافذة. وهذا مناسب، لكنه لا ينبغي أن يحلّ محلّ التواصل مع المحقّقين. فالقنوات الرسمية غالبًا ما تستغرق أسابيع لإنتاج إجراء، بينما التدخّل من جانب منصات التداول عبر الشركات المتخصّصة يمكن أن يتحرّك خلال ساعات.

قائمة الـ 60 دقيقة

الوقت الأولوية
الدقيقة 0-15 إذا لم تكن محفظتك مخترَقة بالكامل، فألغِ تصاريح الرموز غير المألوفة وافصل عن المواقع المشبوهة. قد تكون معاملة إنقاذ من جهاز نظيف ممكنة إذا أُسيء استخدام توقيع تصريح فقط. لا ترسل معاملة إنقاذ بشكل أعمى؛ فإذا كانت عبارة استردادك متعرّضة، ستعترضها سكربتات المهاجمين على الأرجح.
الدقيقة 15-30 ابحث عن معاملة السرقة على مستكشف بلوكتشين. التقط هاش المعاملة، وعنوان المهاجم، والمبلغ، والرمز، والطابع الزمني. دوّن أي سياق عن كيفية حدوثها.
الدقيقة 30-45 غيّر كلمات المرور على البريد وحسابات منصات التداول المتّصلة. استبدل المصادقة الثنائية عبر الرسائل القصيرة بتطبيق مصادقة. إذا فقد هاتفك الإشارة، فاتّصل بمشغّلك واقفل الحساب.
الدقيقة 45-60 تواصل مع Match Systems بهاش المعاملة وعنوان المهاجم. إذا سُرقت عملات مستقرّة، فهذا حين يكون التجميد عبر جهات إنفاذ القانون أكثر قابلية للتحقيق.

بعد الساعة الأولى

الساعة الأولى للفرز. أما الساعات والأيام التي تليها فلحفظ الخيارات ودعم التحقيق الجاري الآن.

لا تدفع لأي شخص يتواصل معك عارضًا الاسترداد. فخلال ساعات من السرقة، غالبًا ما يتواصل مع الضحايا حسابات تَعِد باسترداد الأموال المسروقة مقابل رسم مقدَّم. وهذه تقريبًا دائمًا عمليات احتيال تالية، تديرها أحيانًا المجموعة نفسها التي سرقت الأموال أصلًا، عاملةً من قائمة ضحايا جدد. ولا تطلب أي شركة شرعية إرسال كريبتو إلى محفظة لفتح قفل أموالك المسروقة، ولا تضمن أي شركة شرعية الاسترداد.

احفظ كل شيء. لقطات الشاشة، وسجلات الرسائل، ورسائل البريد، وأي شيء يوثّق ما حدث أو أدّى إليه. فبعض ذلك سيهمّ للإجراء القانوني، وبعضه سيهمّ للتحقيق نفسه.

ابقَ على تواصل مع المحقّقين الذين أشركتهم. فالعمل يستمرّ، غالبًا بهدوء، لأيام أو أسابيع. وكلما كان التواصل أوثق، تحسّنت فرصة التصرّف بشأن الفرص حال ظهورها.

الأسئلة الشائعة

ما مدى سرعة تحريك القراصنة للعملات المشفّرة المسروقة فعلًا؟

أسرع مما يتخيّل معظم الناس. ففي الحالات الموثَّقة التي حلّلتها Global Ledger في 2025، كان أسرع تحرّك أول بعد اختراق أربع ثوانٍ، وأسرع غسل كامل استغرق أقل من ثلاث دقائق. وفي 68% من الحالات، تحرّكت الأموال قبل أن يُعرَف الاختراق علنًا. وهذا سبب أهمية الساعة الأولى الكبيرة. فنافذة التدخّل تُقاس بالدقائق لا بالأيام.

هل يمكنني استرداد عملاتي المشفّرة إذا لاحظت السرقة بعد ساعة؟

غالبًا نعم، لكن الاحتمالات تعتمد على ما حدث في هذه الأثناء. فالأموال التي وصلت إلى منصّة تداول مركزية لكن لم تُسحَب بعد لا يزال يمكن وسمها عبر إشعار قانوني للامتثال. والعملات المستقرّة التي لم تُحوَّل بعد لا يزال يمكن أن تخضع لتجميد من الجهة المُصدِرة بطلب من جهات إنفاذ القانون. والقضايا المُبلَّغ عنها في اليوم الأول هي عمومًا الأقوى حظًّا. وكلما طال التأخير، تجزّأ الأثر أكثر.

هل ينبغي أن أنقل أموالي المتبقّية من المحفظة المخترَقة؟

فقط إذا كان لديك جهاز نظيف، ومحفظة جديدة تمامًا لم تتعرّض مفاتيحها قطّ، وتوقّع واقعي بأن المحاولة قد تفشل. فإذا اُخترقت عبارة استردادك، غالبًا ما يشغّل المهاجمون سكربتات تكنس الغاز الوارد فورًا، فقد تسلّمهم معاملة الإنقاذ الغاز دون استرداد أي شيء. التقط الأدلة أولًا، ثم قرّر ما إذا كان الإنقاذ يستحقّ المحاولة استنادًا إلى ما تبقّى وكيف حدثت السرقة.

هل أحتاج إلى تقديم بلاغ للشرطة فورًا؟

تقديم بلاغ مناسب، لكنه لا ينبغي أن يكون الشيء الوحيد الذي تفعله، ولا ينبغي أن يؤخّر التواصل مع المحقّقين. فقنوات إنفاذ القانون الرسمية غالبًا ما تستغرق أسابيع لإنتاج إجراء. والشركات المتخصّصة ذات العلاقات المباشرة بفرق امتثال منصات التداول يمكن أن تتحرّك خلال ساعات. والقيام بكليهما بالتوازي هو النهج القياسي، والترتيب الذي تفعلهما به يمكن أن ينصح به المحقّقون الذين تشركهم.

ماذا تفعل Match Systems فعلًا بمجرّد التواصل معها؟

بمجرّد حصولنا على هاش المعاملة وعنوان المهاجم، نرسم تدفّق الأموال عبر المحافظ والسلاسل، ونحدّد أكثر نقاط التقاطع المحتملة حيث تلمس الأصول المسروقة منصّة تداول منظَّمة، وننسّق مع فرق امتثال تلك المنصّات لوسم الحساب أو تجميده. وإذا كانت العملات المستقرّة معنيّة، فننسّق مع جهات إنفاذ القانون لبدء تجميد من الجهة المُصدِرة. والعمل إجرائي وحسّاس للوقت، وكلما بدأ أبكر، بقي المزيد من الأثر قابلًا للتنفيذ.

في تحقيقات سرقة الكريبتو، الوقت أهمّ مما يدركه معظم الضحايا.

بمجرّد تجسير الأموال أو خلطها أو سحبها عبر قنوات OTC، يصبح الاسترداد أصعب بكثير.

تعمل Match Systems مع منصات التداول والجهات المُصدِرة للعملات المستقرّة وجهات إنفاذ القانون لتتبّع الأصول المسروقة ودعم الاسترداد القانوني، مستندةً إلى قاعدة بيانات وسم عناوين خاصة وعلاقات امتثال مباشرة بُنيت عبر سنوات من التحقيقات النشطة.

ابدأ تقييم قضية: https://matchsystems.com

الأكثر رواجًا

قدّم طلبًا

اترك طلبًا

كيف نتواصل معك؟

حدّد اسم المستخدم في تيليجرام أو البريد الإلكتروني — حسب طريقة التواصل المختارة.